如何设计一个支持多策略的JavaScript认证与授权中间件？-js教程-PHP中文网

如何设计一个支持多策略的JavaScript认证与授权中间件？

夜晨

发布： 2025-10-13 14:16:01

原创

640人浏览过

答案：设计支持JWT、API Key等多策略的JavaScript认证中间件，通过策略模式实现可扩展的认证机制，按注册顺序匹配策略，成功则挂载用户信息并校验角色权限，失败返回401或403，最终在Express中灵活应用于不同路由。

如何设计一个支持多策略的javascript认证与授权中间件？

在现代Web应用中，认证与授权是保障系统安全的核心环节。设计一个支持多策略的JavaScript中间件，能灵活应对不同场景（如JWT、API Key、OAuth等），提升代码复用性和可维护性。

明确中间件职责与结构

中间件应聚焦于请求的前置验证，不处理业务逻辑。它需要判断用户是否通过某种认证方式登录，并根据配置的授权规则决定是否放行请求。

核心目标：解耦认证方式与路由，支持动态注册策略，便于扩展。

接收请求，提取凭证（如Header中的token）
按注册顺序尝试匹配认证策略
任一策略通过则挂载用户信息到req.user
执行授权检查（如角色权限）
失败时返回401或403，成功则调用next()

实现可插拔的策略注册机制

通过策略模式将不同认证方式抽象为独立模块，运行时动态加载。

立即学习“Java免费学习笔记（深入）”；

定义统一接口，确保所有策略行为一致：

美间AI

美间AI：让设计更简单

查看详情

class AuthStrategy {
  // 检查当前策略是否适用于该请求
  supports(req) { return false; }
  
  // 执行认证，返回用户对象或null
  authenticate(req) { return null; }
}

登录后复制

示例：JWT策略实现

class JWTStrategy extends AuthStrategy {
  constructor(secret) {
    super();
    this.secret = secret;
  }

  supports(req) {
    const auth = req.headers.authorization;
    return auth && auth.startsWith('Bearer ');
  }

  authenticate(req) {
    const token = req.headers.authorization.split(' ')[1];
    try {
      const payload = jwt.verify(token, this.secret);
      return payload.user; // 返回用户信息
    } catch {
      return null;
    }
  }
}

登录后复制

构建多策略调度中间件

中间件本身管理策略列表，依次调用supports和authenticate，直到成功。

function createAuthMiddleware() {
  const strategies = [];

  return {
    use(strategy) {
      strategies.push(strategy);
      return this; // 支持链式调用
    },

    middleware(roles = null) {
      return (req, res, next) => {
        for (const strategy of strategies) {
          if (strategy.supports(req)) {
            const user = strategy.authenticate(req);
            if (user) {
              req.user = user;

              // 简单角色授权
              if (!roles || roles.includes(user.role)) {
                return next();
              } else {
                return res.status(403).json({ error: 'Forbidden' });
              }
            }
          }
        }
        res.status(401).json({ error: 'Unauthorized' });
      };
    }
  };
}

登录后复制

在Express中使用示例

组合多种策略，按需应用于不同路由。

const auth = createAuthMiddleware()
  .use(new JWTStrategy('your-secret-key'))
  .use(new APIKeyStrategy(apiKeysDB));

// 公共接口：仅认证
app.get('/profile', auth.middleware(), (req, res) => {
  res.json(req.user);
});

// 管理员接口：认证 + 角色校验
app.delete('/users/:id', auth.middleware(['admin']), (req, res) => {
  // 只有admin能访问
});

登录后复制

基本上就这些。通过策略抽象和中间件封装，既能支持多种认证方式共存，又能按路由精细控制权限，结构清晰且易于测试和扩展。

以上就是如何设计一个支持多策略的JavaScript认证与授权中间件？的详细内容，更多请关注php中文网其它相关文章！