5 个在 JavaScript 项目中使用 JavaScript OAuth 库

发表于 3年以前  | 总阅读数:467 次

OAuth 是一种开放标准的安全机制,可让您授权一个应用程序与您帐户上的另一个应用程序交互。

它的创建是为了允许一项服务授权另一项服务。OAuth 不公开用户凭据,而是依靠授权令牌来连接用户和服务提供商。

对用户授权的需求可能因业务策略而异。例如,如果您的组织需要面向用户的 API,例如,访问 Google Drive 或代表您发送推文,OAuth 是一个不错的选择。

因此,在本文中,我将讨论可以在您的下一个 Web 应用程序中使用的前 5 个 JavaScript OAuth 库,它们将使用户授权变得更加容易。

1、jsonwebtoken

JSON Web 令牌的实现。

可以说,JSON Web Token 可能是使用最广泛和最受欢迎的 JavaScript OAuth 库。它在使用 JSON Web 令牌 (JWT) 处理敏感信息的 Web 应用程序中非常有用。

JSON Web Token 库具有丰富的功能,例如,

  • 很棒的文档
  • 易于使用和管理
  • 高性能
  • 高度可定制

除了所有这些之外,JSON 网络令牌库每周有大约 640 万次下载和 14.3K GitHub stars。

  • 您可以简单地使用 JSON Web Token asjwt.sign(payload, secretOrPrivateKey, [options, callback]) 创建 JWT。
  • 如果提供回调,该函数将异步工作。如果签名和可选的到期、受众或颁发者有效,则使用解码的有效负载调用回调。如果不是这种情况,它将被调用并出错。
  • 如果未指定回调,则该函数同步工作。如果签名有效并且可选的到期、受众或发行者有效,则它返回解码的有效负载。如果没有,那么它会抛出一个错误。
  • 有效负载可以是表示有效 JSON 的对象文字、缓冲区或字符串。
  • 令牌是 JsonWebToken 字符串
  • secretOrPublicKey 是一个字符串或缓冲区,其中包含 HMAC 算法秘密或 RSA 和 ECDSA 的 PEM 编码公钥。
  • 选项可以是算法、完整、发行者、JWT id 等。

用于对令牌进行签名的技术可以随时更改,从而提供了使令牌更安全并防止个人数据泄露或恶意数据注入的自由。

您可以使用 npm 和 npm i jsonwebtoken 命令轻松下载它。下面是一个异步符号的简单示例。

jwt.sign({ foo: 'bar' }, privateKey, { algorithm: 'RS256' }, function(err, token) {
  console.log(signed);
});

2、身份验证

NextAuth.js 是 Next.js 应用程序的完整开源身份验证解决方案。

它的设计完全是为了支持 Next.js 和 Serverless。此外,Next-auth 支持无密码登录机制。以及它旨在确保安全并在默认情况下帮助处理用户数据。此外,还支持跨站点请求,并在发布路由上提供必要的隐私。

除此之外,它还具有一些现有功能和出色的文档以吸引开发人员。我可以很容易地列出其中的一些,如下:

  • 灵活且易于使用任何 OAuth 服务(支持 OAuth 1.0、1.0A 和 2.0)。
  • 支持任何后端(Active Directory、LDAP 等)的无状态身份验证。
  • 支持 JSON Web 令牌和数据库会话。
  • 然而,它专为无服务器而设计,可以在任何地方使用(AWS Lambda、Docker、Heroku 等等……)。
  • 对 MySQL、MariaDB、Postgres、SQL Server、MongoDB 和 SQLite 的内置支持。
  • 为方便开发人员,自动生成对称签名和加密密钥。

它目前的版本为 3.28.0,每周下载量为 65.3K,GitHub stars 为 7.3K。

您可以通过运行 npm i next-auth 轻松安装 next-auth,下面的示例显示了 next-auth 的简单示例。

import NextAuth from 'next-auth'
import Providers from 'next-auth/providers'
export default NextAuth({
 providers: [
 // OAuth authentication providers…
 Providers.Facebook({
 clientId: process.env.FACEBOOK_ID,
 clientSecret: process.env.FACEBOOK_SECRET
 }),
 Providers.Google({
 clientId: process.env.GOOGLE_ID,
 clientSecret: process.env.GOOGLE_SECRET
 }),
 // Passwordless/sign in
 Providers.Email({
 server: process.env.MAIL_SERVER,
 from: 'NextAuth.js <nextauth@example.com>'
 }),
 ],
 // Optional SQL or MongoDB database to persist users
 database: process.env.DATABASE_URL
}) 
import {
  useSession, signIn, signOut
} from 'next-auth/client'

export default function Component() {
  const [ session, loading ] = useSession()
  if(session) {
    return <>
      Signed in as {session.user.email} <br/>
      <button onClick={() => signOut()}>Sign out</button>
    </>
  }
  return <>
    Not signed in <br/>
    <button onClick={() => signIn()}>Sign in</button>
  </>
}

3、 angular-oauth2-oidc

angular-oauth2-oidc 专为 Angular 设计,支持 OAuth 2 和 OpenId Connect (OIDC)。已经为即将到来的 OAuth 2.1 做好了准备。

这个库在所有现代浏览器和 IE 上使用 webpack 进行了全面测试,包括 Angular 4.3 到 Angular 12 及其路由器、PathLocationStrategy、HashLocationStrategy 和 CommonJS-Bundling。此外,它还具有丰富的文档,可以帮助任何新手开发人员。

它提供的主要功能如下:

  • 通过代码流 + PKCE 和隐式流登录(用户被重定向到身份提供者)
  • 所有受支持流的令牌刷新,并在令牌自动过期之前刷新令牌。
  • 查询 Userinfo Endpoint 和 Discovery Document 以简化配置。
  • 验证 id_token 关于规范的声明。
  • 钩子进行进一步的自定义验证。
  • 通过重定向到身份验证服务器的注销端点进行单点注销

它每周有 107K 的下载量和 1.4K 的 GitHub stars。

您可以通过运行 npm i angular-oauth2-oidc 命令使用 npm 安装它,下面的代码显示了使用 angular-oauth2-oidc 的简单示例。

第 1 步 - 设置 NgModule(app.module)。

import { OAuthModule } from 'angular-oauth2-oidc';
[...]

@NgModule({

  imports: [ 
    [...]
    HttpModule,
    OAuthModule.forRoot()
  ],
  ........

export class AppModule {

}

第 2 步 - 隐式流配置和登录页面。

import { AuthConfig } from 'angular-oauth2-oidc';

export const authConfig: AuthConfig = {

  // Url of the Identity Provider
  issuer: 'https://demo.identityserver.com/identity',

  // Login Url of the Identity Provider
  loginurl: 'https://demo.identityserver.com/identity/connect/authorize',

  // Login Url of the Identity Provider
  logouturl: 'https://demo.identityserver.com/identity/connect/endsession',


  // URL of the SPA to redirect the user to after login
  redirectUri: window.location.origin + '/dashboard.html',

  // The SPA's id. The SPA is registerd with this id at the auth-server
  clientId: 'billing_demo',

  // set the scope for the permissions the client should request
  // The first three are defined by OIDC. Also provide user sepecific
  scope: 'openid profile email billing_demo_api',
}

第 3 步 - 触发向用户显示身份服务器登录页面的隐式流程。

import { OAuthService } from 'angular-oauth2-oidc';
import { JwksValidationHandler } from 'angular-oauth2-oidc';
import { authConfig } from './auth.config';
import { Component } from '@angular/core';

@Component({
    selector: 'billing-app',
    templateUrl: './app.component.html'
})
export class AppComponent {

    constructor(private oauthService: OAuthService) {

      this.ConfigureImplicitFlowAuthentication();
    }

    private ConfigureImplicitFlowAuthentication() {

      this.oauthService.configure(authConfig);

      this.oauthService.tokenValidationHandler = new JwksValidationHandler();

      this.oauthService.loadDiscoveryDocument().then(doc) => {
    this.oauthService.tryLogin()
      .catch(err => {
        console.error(err);
      })
      .then(() => {
        if(!this.oauthService.hasValidAccessToken()) {
          this.oauthService.initImplicitFlow()
        }
      });
    });
    }
}

4、Passport—oauth2

Passport 和 Node.js 的 OAuth 2.0 身份验证策略。

该库允许您在 Node.js 应用程序中使用 OAuth 2.0 身份验证。OAuth 2.0 身份验证可以通过插入 Passport 实现到任何支持 Connect 式中间件(例如 Express)的应用程序或框架中。

重要的是要意识到此策略通常支持 OAuth 2.0。通常也可以使用特定于提供者的方法,这减少了不必要的配置并促进了任何特定于提供者的怪癖。可以在文档中找到受支持的提供程序。

passport-oauth2 具有一些令人兴奋的功能,例如:

  • 支持 500 多种认证策略。
  • 使用 OpenID 和 OAuth 进行单点登录。
  • 轻松应对成功和失败。
  • 支持持久会话
  • 动态范围和权限
  • 自由挑选所需的方法并实施自定义策略。
  • 不需要在应用程序中安装路由。
  • 轻量级代码库。

这也是一个非常流行的 OAuth 库,每周下载量约为 368K,GitHub stars超过 501。

使用 npm 安装一如既往地简单。您只需要运行 npm ipassport-oauth2 命令,然后您就可以使用 passport.authenticate() 尝试以下示例,指定 'oauth2' 策略来验证请求。

例如,作为 Express 应用程序中的路由中间件:

app.get('/auth/passportauth',
  passport.authenticate('oauth2'));
app.get('/auth/passportauth/callback',
  passport.authenticate('oauth2', { failureRedirect: '/login' }),
  function(req, res) {
    // Successful authentication, redirect home.
    res.redirect('/');
  });

5、Simple—oauth2

一个用于 Oauth2 的简单 Node.js 客户端库。

simple-oauth2 目前的版本是 4.2,要使用这个库,你需要安装 Node 12.x 或更高版本。

它提供的功能如下:

  • 使用和理解起来毫不费力。
  • 很容易使用。
  • 有许多受支持的授予类型。
  • 很好的文档可以参考。

支持的 Grant 类型:

  • 授权代码 — 提供对 OAuth2 授权代码授权类型的支持。
  • 资源所有者密码凭据授予 —支持 OAuth2 资源所有者密码凭据授予类型。
  • 客户端凭据授予 —支持 OAuth2 客户端凭据授予类型。

完成任何受支持的授权类型后,将获得访问令牌。

您可以使用 npm i simple-oauth2 命令安装它并自行尝试。例如,一个简单的授权代码授权类型示例可以如下所示。

步骤 1- 使用最少的配置创建任何受支持的授权类型的客户端实例。

const config = {
  client: {
    id: '<client-id>',
    secret: '<client-secret>'
  },
  auth: {
    tokenHost: 'https://api.oauth.com'
  }
};

const { ClientCredentials, ResourceOwnerPassword, AuthorizationCode } = require('simple-oauth2');

第2步

async function run() {
  const client = new AuthorizationCode(config);

  const authorizationUri = client.authorizeURL({
    redirect_uri: 'http://localhost:3000/callback',
    scope: '<scope>',
    state: '<state>'
  });

  // Redirect example using Express (see http://expressjs.com/api.html#res.redirect)
  res.redirect(authorizationUri);

  const tokenParams = {
    code: '<code>',
    redirect_uri: 'http://localhost:3000/callback',
    scope: '<scope>',
  };

  try {
    const accessToken = await client.getToken(tokenParams);
  } catch (error) {
    console.log('Access Token Error', error.message);
  }
}

run();

总结在开发项目中, JavaScript Web 应用程序选择 OAuth 库时,必须考虑您的程序、网站或应用程序如何对用户进行身份验证。他们有适当的权限吗?您是否已向相关服务提供商授予代表用户验证其身份和访问数据的许可?您将使用的 OAuth 版本等。

即使您使用 OAuth 库来自动化该过程,您也应该始终意识到个人或该服务提供商将如何使用(或维护)应用程序数据。

因此,我希望今天内容能够给对您有所帮助,帮助您在下一个 JavaScript 项目中选择出最佳的 OAuth 库。

最后,感谢您的时间,感谢您的阅读。

本文由哈喽比特于3年以前收录,如有侵权请联系我们。
文章来源:https://mp.weixin.qq.com/s/kk1UsWiqXSohNvRuBZneVA

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »
 相关文章
Java 中验证时间格式的 4 种方法 2年以前  |  3870次阅读
Java经典面试题答案解析(1-80题) 4年以前  |  3651次阅读
CentOS 配置java应用开机自动启动 4年以前  |  2796次阅读
IDEA依赖冲突分析神器—Maven Helper 4年以前  |  2772次阅读
SpringBoot 控制并发登录的人数教程 4年以前  |  2452次阅读
 目录