答案:设计支持JWT、API Key等多策略的JavaScript认证中间件,通过策略模式实现可扩展的认证机制,按注册顺序匹配策略,成功则挂载用户信息并校验角色权限,失败返回401或403,最终在Express中灵活应用于不同路由。
在现代Web应用中,认证与授权是保障系统安全的核心环节。设计一个支持多策略的JavaScript中间件,能灵活应对不同场景(如JWT、API Key、OAuth等),提升代码复用性和可维护性。
明确中间件职责与结构
中间件应聚焦于请求的前置验证,不处理业务逻辑。它需要判断用户是否通过某种认证方式登录,并根据配置的授权规则决定是否放行请求。
核心目标:解耦认证方式与路由,支持动态注册策略,便于扩展。
- 接收请求,提取凭证(如Header中的token)
- 按注册顺序尝试匹配认证策略
- 任一策略通过则挂载用户信息到req.user
- 执行授权检查(如角色权限)
- 失败时返回401或403,成功则调用next()
实现可插拔的策略注册机制
通过策略模式将不同认证方式抽象为独立模块,运行时动态加载。
立即学习“Java免费学习笔记(深入)”;
定义统一接口,确保所有策略行为一致:
class AuthStrategy {
// 检查当前策略是否适用于该请求
supports(req) { return false; }
// 执行认证,返回用户对象或null
authenticate(req) { return null; }
}
示例:JWT策略实现
class JWTStrategy extends AuthStrategy {
constructor(secret) {
super();
this.secret = secret;
}
supports(req) {
const auth = req.headers.authorization;
return auth && auth.startsWith('Bearer ');
}
authenticate(req) {
const token = req.headers.authorization.split(' ')[1];
try {
const payload = jwt.verify(token, this.secret);
return payload.user; // 返回用户信息
} catch {
return null;
}
}
}
构建多策略调度中间件
中间件本身管理策略列表,依次调用supports和authenticate,直到成功。
function createAuthMiddleware() {
const strategies = [];
return {
use(strategy) {
strategies.push(strategy);
return this; // 支持链式调用
},
middleware(roles = null) {
return (req, res, next) => {
for (const strategy of strategies) {
if (strategy.supports(req)) {
const user = strategy.authenticate(req);
if (user) {
req.user = user;
// 简单角色授权
if (!roles || roles.includes(user.role)) {
return next();
} else {
return res.status(403).json({ error: 'Forbidden' });
}
}
}
}
res.status(401).json({ error: 'Unauthorized' });
};
}
};
}
在Express中使用示例
组合多种策略,按需应用于不同路由。
const auth = createAuthMiddleware()
.use(new JWTStrategy('your-secret-key'))
.use(new APIKeyStrategy(apiKeysDB));
// 公共接口:仅认证
app.get('/profile', auth.middleware(), (req, res) => {
res.json(req.user);
});
// 管理员接口:认证 + 角色校验
app.delete('/users/:id', auth.middleware(['admin']), (req, res) => {
// 只有admin能访问
});
基本上就这些。通过策略抽象和中间件封装,既能支持多种认证方式共存,又能按路由精细控制权限,结构清晰且易于测试和扩展。
