服务端JavaScript通过Node.js实现身份认证与授权,常用方案包括Session+Cookie、JWT和OAuth 2.0。认证解决“你是谁”,如用户登录后生成session或JWT;授权确定“你能做什么”,常用RBAC模型或基于权限的控制,结合中间件校验角色或权限。安全实践强调JWT设置过期时间、避免存储敏感信息、使用HTTPS传输、优先httpOnly Cookie存储token,并防范XSS与越权访问。小型项目可用Session或JWT+RBAC,大型系统推荐OAuth 2.0与统一权限管理。
服务端 JavaScript 的身份认证与授权通常通过 Node.js 实现,结合现代 Web 安全机制保障用户数据和接口安全。核心目标是确认“你是谁”(认证)和“你能做什么”(授权)。下面从常用方案、实现方式和最佳实践三个方面说明。
身份认证(Authentication)
身份认证用于验证用户身份,常见方式包括:
- Session + Cookie:用户登录后,服务器创建 session 并存储在内存或 Redis 中,返回一个 session ID 通过 Set-Cookie 发送给浏览器。后续请求携带 Cookie,服务端比对 session 状态。
-
JWT(JSON Web Token):用户登录成功后,服务器生成包含用户信息(如 userId、role)的 JWT,返回给客户端。客户端在后续请求的 Authorization 头中携带 token(格式:
Bearer),服务端验证签名并解析 payload。 - OAuth 2.0 / OpenID Connect:适用于第三方登录(如微信、Google 登录),通过授权服务器完成认证流程,获取 access token 和 id token。
Node.js 中可使用 express-session 配合 connect-redis 实现会话管理,或使用 jsonwebtoken 库生成和验证 JWT。
授权(Authorization)
授权决定已认证用户能访问哪些资源或执行哪些操作。常见模式有:
立即学习“Java免费学习笔记(深入)”;
- 基于角色的访问控制(RBAC):为用户分配角色(如 admin、user),不同角色拥有不同权限。例如,admin 可删除文章,user 只能查看。
- 基于权限的控制:直接为用户或角色分配具体权限(如 canEditPost、canDeleteUser)。
- 细粒度授权:结合上下文判断,比如用户只能编辑自己发布的文章(owner === req.user.id)。
在 Express 路由中可通过中间件实现:
function requireRole(role) {
return (req, res, next) => {
if (req.user.role !== role) {
return res.status(403).json({ error: '权限不足' });
}
next();
};
}
// 使用
app.delete('/posts/:id', requireRole('admin'), deletePost);
安全建议与最佳实践
- JWT 应设置合理过期时间(exp),敏感操作建议配合短期 token 或重新认证。
- 不要在 JWT payload 中存放敏感信息(如密码),即使无法篡改,仍可能被解码查看。
- 使用 HTTPS 传输 token,防止中间人攻击。
- 避免将 token 存储在 localStorage(易受 XSS 攻击),推荐使用 httpOnly Cookie 存储。
- 定期清理过期 session 或 token,尤其是使用数据库或 Redis 时。
- 对所有输入进行校验,防止越权访问(如 ID 参数篡改)。
基本上就这些。选择哪种方式取决于应用规模和安全需求。小型项目可用 Session 或 JWT + RBAC,大型系统建议集成 OAuth 2.0 并使用权限中心统一管理。不复杂但容易忽略细节。
