基于角色的 jwt 授权

Posted 2023-03-10

技术标签:

【中文标题】基于角色的 jwt 授权【英文标题】：Role based jwt authorization 【发布时间】：2017-12-14 23:43:54 【问题描述】：

我正在尝试使用 JSON Web 令牌对 Node.js API 进行身份验证。我可以生成令牌对用户进行身份验证。现在我需要根据用户角色保护我的 API。这是我如何路由中间件以进行身份验证和检查令牌。

var app = express();

var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) 

    var token = req.body.token || req.param('token') || req.headers['x-access-token'];

    if (token) 
        jwt.verify(token, app.get('superSecret'), function (err, decoded) 
            if (err) 
                return res.json( success: false, message: 'Failed to authenticate token.' );
             else 
                req.decoded = decoded;
                next();
            
        );

     else 
        return res.status(403).send(
            success: false,
            message: 'No token provided.'
        );
    
);

apiRoutes.get('/check', function (req, res) 
    //...
);

app.use('/api', apiRoutes);

这样，我保护 API 说/api/check。这只能通过admin user 访问。现在我有另一个super user 可以访问/api/validate，而admin user 无法访问。我怎样才能保护/api/validate 只为super user。我是否需要再编写一个中间件来执行此操作？

这是我现在进行管理员检查的方法，

apiRoutes.post('/delete/:id',requireAdmin, function (req, res) 
//do the rest
;

function requireAdmin(req, res, next) 
    var currentUserRole=".."; //get current user role
    if('admin' == currentUserRole )
     
         next();
     
     else
          next(new Error("Permission denied."));
    return;
       
;

类似requireSuperUser 功能用于超级用户检查。这是进行管理员/超级用户检查的正确方法吗？

【问题讨论】：

【参考方案1】：

创建 JWT 时，您可以提供自己的有效负载作为私有声明。例如：


  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "superUser": false

同样的方式，您也许可以为登录用户列出一组用户角色


  "sub": "1234567890",
  "name": "John Doe",
  "roles": [
    "ADMIN",
    "SUPERUSER"
  ]

然后需要解码令牌（最好使用 express.js 中间件进行此身份验证/授权）并检查角色并在不允许时抛出 HTTP 401。如果允许，请拨打next(); 继续并输入匹配的路线。

这种可能的中间件功能的小例子：

function canAccess(req, res, next) 
  checkAuthorization(req, function (err, authorized) 
      if (err || !authorized) 
          res.send(message: 'Unauthorized', status: 401);
      

      next();
  );

  function checkAuthorization(req, callback) 
      // jwt decode and actual authentication admin/superuser matching goes here..
  


router.use(canAccess);

有关 JWT 声明的更多信息：https://jwt.io/introduction

更多关于expressjs中间件的信息：https://expressjs.com/en/guide/using-middleware.html

【讨论】：

只是一个小补充：401 是缺少或无效令牌的代码，但如果用户无权访问资源（令牌本身是有效的），服务器应该返回 403。 【参考方案2】：

添加requireAdmin函数并通过解码payload检查角色是否为管理员。

api.post('/create',requireAdmin, function (req, res) 
   //.....


function requireAdmin(request, response, next) 
    if (request.decoded.role != 'admin') 
        response.json(message: 'Permission denied.' );
    
    else 
        next();
    
;

【讨论】：

以上是关于基于角色的 jwt 授权的主要内容，如果未能解决你的问题，请参考以下文章

将 JWT 与基于角色的授权一起使用

如何执行 Auth0 JWT 令牌用户基于角色的授权

Spring Boot JWT token 基于角色的授权问题

ASP.NET Core WebApi Jwt 基于角色的授权不起作用

使用 express-jwt 进行基于角色的授权？

具有 jwt 令牌和身份的 asp core 2 中基于角色的授权