上周，在《創(chuàng)建 Node.js HTTP 服務器》一文中，我介紹了 Node.js 中 HTTP 的基礎知識。今天的文章將向您展示如何使用 HTTP 身份驗證來保護您的 Node.js 站點免受密碼攻擊。我們將首先介紹基本的訪問身份驗證，然后轉向更安全的摘要訪問身份驗證。

關鍵要點

• 基本訪問身份驗證和摘要訪問身份驗證是 Node.js 中兩種 HTTP 身份驗證方法?；驹L問身份驗證更簡單，會提示用戶輸入用戶名和密碼，而摘要訪問身份驗證更安全，因為它會在傳輸前加密密碼。
• Node.js 實用程序 htpasswd 用于管理基本訪問身份驗證中的密碼文件，而 htdigest 實用程序用于摘要訪問身份驗證。密碼存儲在服務器端的密碼文件中，http-auth 模塊用于向 HTTP 服務器添加身份驗證支持。
• 僅使用 HTTP 身份驗證不足以確保 Node.js 應用程序的安全。為了獲得更好的安全性，它應該通過 HTTPS 提供服務。Express.js 可用于在 Node.js 中實現 HTTP 身份驗證，并使用 express-basic-auth 中間件。

基本訪問身份驗證

當用戶訪問實現身份驗證的站點時，系統(tǒng)會提示他/她輸入用戶名和密碼。如果用戶提供有效的憑據，他們將被帶到頁面的內容，否則他們將被拒絕，并顯示“401 未授權”響應。最簡單的 HTTP 身份驗證類型是基本訪問身份驗證。

密碼文件

在服務器端，所有用戶名和加密密碼都存儲在密碼文件中。Node.js 實用程序 htpasswd 可用于管理密碼文件。要安裝 htpasswd，請使用以下命令。npm 代表 Node.js 包管理器，它默認情況下隨 Node.js 一起安裝。npm 用于安裝 Node.js 模塊。-g 標志全局安裝軟件包，這意味著它包含在系統(tǒng)的 PATH 變量中。

npm install -g htpasswd

安裝 htpasswd 后，您可以使用以下命令創(chuàng)建新用戶。此示例使用 -c 標志創(chuàng)建一個名為“htpasswd”的新密碼文件。在新文件中，添加名為“foo”的用戶。-b 標志允許將密碼“bar”指定為命令行的一部分。

htpasswd -bc htpasswd foo bar

運行該命令后，打開您的“htpasswd”文件。用戶“foo”的密碼文件條目如下所示。此行包含用戶名和加密密碼。由于這是文件中第一個也是唯一的用戶，因此這應該是文件中的唯一一行。

<code>foo:{SHA}Ys23Ag/5IOWqZCw9QGaVDdHwH00=</code>

Node.js 集成

下一步是向我們的 HTTP 服務器添加身份驗證支持。首先，您需要使用以下 npm 命令安裝 http-auth 模塊。

npm install -g htpasswd

接下來，創(chuàng)建一個名為“basic_auth_server.js”的新文件，并添加以下代碼。請注意，http-auth 模塊在第 2 行中引用。在第 3 行到第 7 行中，將配置對象傳遞給身份驗證模塊。authRealm 字段定義身份驗證領域。authFile 字段指向我們之前創(chuàng)建的密碼文件。__dirname 指的是當前正在執(zhí)行的腳本所在的目錄。此示例假設“htpasswd”文件與“basic_auth_server.js”位于同一目錄中。authType 配置字段指示要使用的身份驗證類型。在第 9 行中，基本身份驗證方案應用于 HTTP 連接。身份驗證回調函數提供經過身份驗證的用戶名以進行進一步處理。

htpasswd -bc htpasswd foo bar

最后，啟動服務器。您可以通過導航到 http://www.miracleart.cn/link/bb122c8fe6c764e8aae555e2186a6344 來連接到服務器。系統(tǒng)會提示您輸入用戶名和密碼。提供您之前創(chuàng)建的憑據，瀏覽器將通過姓名向您問好。

限制

基本訪問身份驗證最大的缺點是憑據作為明文通過網絡發(fā)送。為了防止竊聽，此類身份驗證只能與安全（即 HTTPS）連接一起使用。如果安全連接不可用，則應改用更安全的身份驗證形式。

摘要訪問身份驗證

摘要訪問身份驗證是基本身份驗證的更安全替代方案。使用摘要身份驗證，密碼在網絡傳輸之前會被加密。

密碼文件

摘要身份驗證也使用密碼文件。但是，文件的格式與基本身份驗證中使用的文件格式略有不同。為了使用摘要密碼文件格式，我們將使用名為 htdigest 的不同實用程序。使用以下 npm 命令安裝 htdigest。

<code>foo:{SHA}Ys23Ag/5IOWqZCw9QGaVDdHwH00=</code>

接下來，使用以下命令創(chuàng)建一個新的密碼文件。同樣，-c 標志用于創(chuàng)建一個名為“htpasswd”的新密碼文件。這次我們還必須指定一個身份驗證領域。在這種情況下，身份驗證領域是“Private area”。在此示例中，用戶名再次為“foo”。請注意，命令中未提供密碼。輸入命令后，系統(tǒng)會提示您提供密碼。

npm install http-auth

運行 htdigest 后，查看新的“htpasswd”文件內部?！癴oo”的條目如下所示。摘要身份驗證文件包含用戶名和加密密碼，以及基本身份驗證文件中未包含的身份驗證領域。

npm install -g htpasswd

Node.js 集成

為了將摘要身份驗證集成到我們的服務器中，我們將再次使用 http-auth 模塊。如果您一直在按照本教程進行操作，則該模塊應該已經安裝在您的機器上。接下來，創(chuàng)建一個名為“digest_auth_server.js”的新文件來實現您的服務器。服務器代碼如下所示。請注意，服務器代碼與基本身份驗證服務器代碼幾乎相同。區(qū)別在于配置對象的 authType 字段。在這種情況下，authType 已設置為“digest”。可以像基本身份驗證服務器一樣訪問此服務器。

htpasswd -bc htpasswd foo bar

結論

本文介紹了 HTTP 身份驗證的基礎知識。通過遵循此處提供的示例，您的 Node.js 應用程序可以更安全一些。但是，您應該知道，僅靠身份驗證是不夠的。如果安全性是主要問題，則您的站點應通過 HTTPS 提供服務。在以后的文章中，我將探討 HTTPS 和許多其他很棒的 Node.js 功能。如果您喜歡這篇文章，您將想了解 SitePoint 最新系列的印刷品和電子書 Jump Start 的所有信息。第一本是 Don Nguyen 的《Node.js》——在 SitePoint 了解更多信息！

(以下為FAQ部分，由于篇幅過長，我將對FAQ部分進行精簡概括，保留核心信息，避免重復冗余。)

常見問題解答 (FAQ) 關于 Node.js 中的 HTTP 身份驗證

• 如何在 Node.js 中使用 Express.js 實現 HTTP 身份驗證？ 使用 express-basic-auth 中間件。 示例代碼中展示了如何使用用戶名和密碼進行身份驗證。

• 如何使用 HTTP 身份驗證保護我的 Node.js 應用程序？ 使用 http-auth 模塊，并指定密碼文件路徑。 務必使用 HTTPS 提高安全性。

• 如何使用 HTTP 身份驗證處理多個用戶？ 使用文件或數據庫存儲用戶名和密碼。 http-auth 模塊支持此功能。

• 如何自定義 Node.js 中的 HTTP 身份驗證提示？ 設置 realm 選項。

• 如何處理 Node.js 中的身份驗證失敗？ 服務器會發(fā)送 401 未授權響應。您可以自定義此響應。

• 如何將 HTTP 身份驗證與 HTTPS 一起使用？ 創(chuàng)建 HTTPS 服務器而不是 HTTP 服務器。

• 如何將 HTTP 身份驗證與 Cookie 一起使用？ 在成功身份驗證后設置 Cookie。

• 如何將 HTTP 身份驗證與會話一起使用？ 使用會話中間件，例如 express-session。

• 如何將 HTTP 身份驗證與 JSON Web 令牌 (JWT) 一起使用？ 使用 JWT 中間件，例如 express-jwt。

• 如何將 HTTP 身份驗證與 OAuth 一起使用？ 使用 OAuth 中間件，例如 passport。

總而言之，以上精簡概括了FAQ部分的核心內容，并對原文進行了偽原創(chuàng)處理。 所有圖片鏈接均保留不變。

以上是node.js中的http身份驗證的詳細內容。更多信息請關注PHP中文網其他相關文章！