2023年3月31日

使用 NestJS 和 Prisma 构建 REST API:认证

10 分钟阅读

欢迎来到本系列的第五篇教程,关于使用 NestJS、Prisma 和 PostgreSQL 构建 REST API!在本教程中,您将学习如何在 NestJS REST API 中实现 JWT 认证。

Building a REST API with NestJS and Prisma: Authentication

目录

引言

在本系列的上一章中,您学习了如何在 NestJS REST API 中处理关联数据。您创建了一个 User 模型,并在 UserArticle 模型之间添加了一对多的关系。您还为 User 模型实现了 CRUD 端点。

在本章中,您将学习如何使用一个名为 Passport 的包为您的 API 添加认证。

  1. 首先,您将使用一个名为 Passport 的库实现基于 JSON Web Token (JWT) 的认证。
  2. 接下来,您将使用 bcrypt 库对密码进行哈希处理,从而保护存储在数据库中的密码。

在本教程中,您将使用上一章构建的 API。

开发环境

要跟着本教程进行,您需要具备以下条件:

  • ... 已安装 Node.js
  • ... 已安装 DockerDocker Compose。如果您使用的是 Linux,请确保您的 Docker 版本为 20.10.0 或更高。您可以通过在终端中运行 docker version 来检查您的 Docker 版本。
  • ... 可选地,安装 Prisma VS Code 扩展。Prisma VS Code 扩展为 Prisma 添加了一些非常棒的 IntelliSense 和语法高亮功能。
  • ... 可选地,使用 Unix shell(例如 Linux 和 macOS 中的终端/shell)来运行本系列中提供的命令。

如果您没有 Unix shell(例如,您使用的是 Windows 机器),您仍然可以跟着进行,但 shell 命令可能需要根据您的机器进行修改。

克隆仓库

本教程的起点是本系列第二章的终点。它包含一个使用 NestJS 构建的初步 REST API。

本教程的起点可在 GitHub 仓库end-validation 分支中找到。要开始,请克隆仓库并切换到 end-validation 分支

现在,执行以下操作开始:

  1. 导航到克隆的目录
  1. 安装依赖
  1. 使用 Docker 启动 PostgreSQL 数据库
  1. 应用数据库迁移
  1. 启动项目

注意:步骤 4 还会生成 Prisma Client 并填充数据库。

现在,您应该能够访问位于 http://localhost:3000/api/ 的 API 文档。

项目结构和文件

您克隆的仓库应该具有以下结构

注意:您可能会注意到此文件夹还附带一个 test 目录。本教程不涉及测试。但是,如果您想了解如何使用 Prisma 测试应用程序的最佳实践,请务必查看本教程系列:《Prisma 测试终极指南》。

此仓库中值得注意的文件和目录包括:

  • src 目录包含应用程序的源代码。其中有三个模块:
    • app 模块位于 src 目录的根部,是应用程序的入口点。它负责启动 Web 服务器。
    • prisma 模块包含 Prisma Client,它是您与数据库的接口。
    • articles 模块定义了 /articles 路由的端点以及相应的业务逻辑。
    • users 模块定义了 /users 路由的端点以及相应的业务逻辑。
  • prisma 文件夹包含以下内容:
    • schema.prisma 文件定义了数据库模式。
    • migrations 目录包含数据库迁移历史。
    • seed.ts 文件包含一个用于向开发数据库填充模拟数据的脚本。
  • docker-compose.yml 文件定义了您的 PostgreSQL 数据库的 Docker 镜像。
  • .env 文件包含您的 PostgreSQL 数据库连接字符串。

注意:有关这些组件的更多信息,请查阅本教程系列的第一章

在 REST API 中实现认证

在本节中,您将实现 REST API 的大部分认证逻辑。本节结束后,以下端点将受到认证保护 🔒

  • GET /users
  • GET /users/:id
  • PATCH /users/:id
  • DELETE /users/:id

Web 上使用的认证主要有两种类型:基于会话的认证和基于令牌的认证。在本教程中,您将使用 JSON Web Tokens (JWT) 实现基于令牌的认证。

注意这段短视频解释了两种认证的基本概念。

首先,在您的应用程序中创建一个新的 auth 模块。运行以下命令生成新模块:

您将收到一些 CLI 提示。相应地回答问题:

  1. 您想为此资源使用什么名称(复数形式,例如“users”)? auth
  2. 您使用什么传输层? REST API
  3. 您想生成 CRUD 入口点吗?

您现在应该能在 src/auth 目录中找到一个新的 auth 模块。

安装和配置 passport

passport 是一个流行的 Node.js 应用程序认证库。它具有高度可配置性,并支持多种认证策略。它旨在与 NestJS 所基于的 Express Web 框架一起使用。NestJS 与 passport 有一个第一方集成,名为 @nestjs/passport,使它在 NestJS 应用程序中易于使用。

首先安装以下软件包:

现在您已经安装了所需的软件包,您可以在应用程序中配置 passport。打开 src/auth.module.ts 文件并添加以下代码:

@nestjs/passport 模块提供了一个 PassportModule,您可以将其导入应用程序。 PassportModulepassport 库的一个包装器,提供了 NestJS 特定的工具。您可以在官方文档中阅读有关 PassportModule 的更多信息。

您还配置了一个 JwtModule,您将用它来生成和验证 JWT。 JwtModulejsonwebtoken 库的包装器。secret 提供了一个用于签名 JWT 的秘密密钥。 expiresIn 对象定义了 JWT 的过期时间。它当前设置为 5 分钟。

注意:如果之前的令牌已过期,请记住生成新令牌。

您可以使用代码片段中显示的 jwtSecret,也可以使用 OpenSSL 生成您自己的秘密密钥。

注意:在实际应用程序中,您永远不应将秘密密钥直接存储在代码库中。NestJS 提供了 @nestjs/config 包,用于从环境变量加载秘密密钥。您可以在官方文档中阅读有关它的更多信息。

实现 POST /auth/login 端点

POST /login 端点将用于认证用户。它将接受用户名和密码,并在凭据有效时返回一个 JWT。首先,您创建一个 LoginDto 类来定义请求体的结构。

src/auth/dto 目录内创建一个名为 login.dto.ts 的新文件

现在定义 LoginDto 类,包含 emailpassword 字段

您还需要定义一个新的 AuthEntity,它将描述 JWT 有效载荷的结构。在 src/auth/entity 目录内创建一个名为 auth.entity.ts 的新文件

现在在此文件中定义 AuthEntity

AuthEntity 只有一个名为 accessToken 的字符串字段,其中将包含 JWT。

现在在 AuthService 中创建一个新的 login 方法

login 方法首先获取具有给定电子邮件的用户。如果找不到用户,它将抛出 NotFoundException。如果找到用户,它会检查密码是否正确。如果密码不正确,它将抛出 UnauthorizedException。如果密码正确,它将生成包含用户 ID 的 JWT 并返回。

现在在 AuthController 中创建 POST /auth/login 方法

现在您的 API 中应该有一个新的 POST /auth/login 端点。

转到 http://localhost:3000/api 页面,尝试 POST /auth/login 端点。提供您在种子脚本中创建的用户的凭据

您可以使用以下请求体:

执行请求后,您应该在响应中获得一个 JWT。

POST /auth/login endpoint

在下一节中,您将使用此令牌来认证用户。

实现 JWT 认证策略

在 Passport 中,策略(strategy)负责认证请求,它通过实现一种认证机制来完成此任务。在本节中,您将实现一个 JWT 认证策略,用于认证用户。

您不会直接使用 passport 包,而是与包装器包 @nestjs/passport 交互,它将在底层调用 passport 包。要使用 @nestjs/passport 配置策略,您需要创建一个继承自 PassportStrategy 类的类。您需要在此类中完成两件事:

  1. 您将在构造函数中将 JWT 策略特定的选项和配置传递给 super() 方法。
  2. 一个 validate() 回调方法,它将与您的数据库交互,根据 JWT 有效载荷获取用户。如果找到用户,validate() 方法应返回用户对象。

首先在 src/auth/strategy 目录内创建一个名为 jwt.strategy.ts 的新文件

现在实现 JwtStrategy

您创建了一个继承自 PassportStrategy 类的 JwtStrategy 类。PassportStrategy 类接受两个参数:策略实现和策略名称。在这里,您使用的是来自 passport-jwt 库的预定义策略。

您正在将一些选项传递给构造函数中的 super() 方法。jwtFromRequest 选项需要一个方法,该方法可用于从请求中提取 JWT。在这种情况下,您将使用在 API 请求的 Authorization 头部提供 Bearer 令牌的标准方法。secretOrKey 选项告诉策略使用什么秘密密钥来验证 JWT。还有许多其他选项,您可以在 passport-jwt 仓库中阅读它们。

对于 passport-jwt,Passport 首先验证 JWT 的签名并解码 JSON。然后将解码后的 JSON 传递给 validate() 方法。基于 JWT 签名的工作方式,您保证收到的是您应用程序先前签名和颁发的有效令牌。validate() 方法应返回用户对象。如果找不到用户,validate() 方法将抛出错误。

注意:Passport 可能相当令人困惑。将 Passport 视为一个微型框架很有帮助,它将认证过程抽象为几个步骤,可以通过策略和配置选项进行自定义。我建议阅读NestJS Passport 指南以了解如何在 NestJS 中使用 Passport 的更多信息。

将新的 JwtStrategy 作为提供者添加到 AuthModule

现在 JwtStrategy 可以被其他模块使用。您还将 UsersModule 添加到 imports 中,因为 JwtStrategy 类中使用了 UsersService

为了使 UsersServiceJwtStrategy 类中可用,您还需要将其添加到 UsersModuleexports

实现 JWT 认证守卫

守卫(Guards)是 NestJS 的一个构造,用于确定是否允许请求继续。在本节中,您将实现一个自定义的 JwtAuthGuard,它将用于保护需要认证的路由。

src/auth 目录内创建一个名为 jwt-auth.guard.ts 的新文件

现在实现 JwtAuthGuard

AuthGuard 类需要一个策略的名称。在这种情况下,您使用的是在上一节中实现的 JwtStrategy,其名称为 jwt

您现在可以将此守卫用作装饰器来保护您的端点。将 JwtAuthGuard 添加到 UsersController 中的路由

如果您尝试在没有认证的情况下查询这些端点中的任何一个,它将不再工作。

`GET /users endpoint gives 401 response

将认证集成到 Swagger

目前在 Swagger 中没有指示这些端点受到认证保护。您可以为控制器添加一个 @ApiBearerAuth() 装饰器来指示需要认证

现在,受认证保护的端点在 Swagger 中应该有一个锁定图标 🔓

Auth protected endpoints in Swagger

目前无法直接在 Swagger 中“认证”您自己,以便测试这些端点。为此,您可以将 .addBearerAuth() 方法调用添加到 main.ts 中的 SwaggerModule 设置中

您现在可以通过点击 Swagger 中的 Authorize 按钮来添加令牌。Swagger 会将令牌添加到您的请求中,以便您可以查询受保护的端点。

注意:您可以通过向 /auth/login 端点发送一个包含有效 emailpasswordPOST 请求来生成令牌。

自己试试吧。

Authentication workflow in Swagger

密码哈希

目前,User.password 字段以明文形式存储。这是一个安全风险,因为如果数据库被攻破,所有密码也会被泄露。要解决这个问题,您可以在将密码存储到数据库之前对其进行哈希处理。

您可以使用 bcrypt 加密库来对密码进行哈希处理。使用 npm 安装它

首先,您将更新 UsersService 中的 createupdate 方法,以便在将密码存储到数据库之前对其进行哈希处理

bcrypt.hash 函数接受两个参数:哈希函数的输入字符串和哈希轮数(也称为成本因子)。增加哈希轮数会增加计算哈希所需的时间。这在安全性和性能之间存在权衡。哈希轮数越多,计算哈希所需的时间就越长,这有助于防止暴力攻击。然而,更多的哈希轮数也意味着用户登录时计算哈希所需的时间更长。这个 Stack Overflow 回答对此话题进行了很好的讨论。

bcrypt 还自动使用另一种称为加盐(salting)的技术,使哈希更难被暴力破解。加盐是一种在哈希之前向输入字符串添加随机字符串的技术。这样,攻击者就无法使用预计算哈希表来破解密码,因为每个密码都有不同的盐值。

您还需要更新您的数据库种子脚本,以便在将密码插入数据库之前对其进行哈希处理

运行种子脚本 npx prisma db seed,您应该看到数据库中存储的密码现在已经哈希化了。

您看到的 password 字段的值会不同,因为每次使用的盐值都不同。重要的是该值现在是一个哈希字符串。

现在,如果您尝试使用正确的密码进行 login,您将遇到 HTTP 401 错误。这是因为 login 方法尝试将用户请求中的明文密码与数据库中的哈希密码进行比较。更新 login 方法以使用哈希密码

您现在可以使用正确的密码登录并在响应中获取 JWT。

总结和最后说明

在本章中,您学习了如何在 NestJS REST API 中实现 JWT 认证。您还学习了密码加盐以及将认证与 Swagger 集成。

您可以在 GitHub 仓库end-authentication 分支中找到本教程的完整代码。如果您发现问题,请随时在仓库中提出 Issue 或提交 PR。您也可以直接通过 Twitter 与我联系。

不要错过下一篇文章!

订阅 Prisma 新闻通讯