基于nodejs+vuetify3+ts+nuxt框架集成模块组件解析-身份验证

垣宇

于 2025-02-16 23:39:25 发布

阅读量965

点赞数 15

分类专栏：开发框架/组件文章标签： vue.js javascript typescript visual studio 哈希算法 node.js 中间件

本文链接：https://blog.youkuaiyun.com/mycollege2011/article/details/145659833

版权

一、身份验证

1.Csurf

防止跨站点请求伪造（CSRF），创建用于CSRF令牌创建和验证的中间件。

在 Node.js 环境中使用 csurf 模块来处理 CSRF（跨站请求伪造）保护，尤其是在结合 Vue.js、Nuxt.js 和 Vuetify 3 以及 TypeScript 的项目中，你可以通过以下步骤来实现 CSRF 保护。

特性

✅支持Node.js服务器和无服务器环境
✅支持通用和客户端渲染（ssr: true|false）
✅单路由配置
✅打印稿
❌由于某些限制，不支持静态托管和硝基预渲染器

官方文档： Csurf - Nuxt 模块 - Nuxt 中文文档

注：本文中代码仅做参考，切勿直接引用逻辑相关代码；且不同框架写法、引用方式不同，仅做参考，请自行修改

1.安装命令

npx nuxi@latest module add csurf

还需要安装 cookie-parser，cookie-parser 用于解析 HTTP 请求中的 cookie。

pnpm install cookie-parser

2.全局配置

// nuxt.config.js
export default defineNuxtConfig({
  modules: ['nuxt-csurf'],
  csurf: { // optional
    https: false, // default true if in production
    cookieKey: '', // "__Host-csrf" if https is true otherwise just "csrf"
    cookie: { // CookieSerializeOptions from unjs/cookie-es
      path: '/',
      httpOnly: true,
      sameSite: 'strict'
    },
    methodsToProtect: ['POST', 'PUT', 'PATCH'], // the request methods we want CSRF protection for
    encryptSecret: /** a 32 bits secret */, // for stateless server (like serverless runtime), random bytes by default
    encryptAlgorithm: 'aes-256-cbc', // by default 'aes-256-cbc' (node), 'AES-CBC' (serverless)
    addCsrfTokenToEventCtx: true, // default false, to run useCsrfFetch on server set it to true
    headerName: 'csrf-token' // the header where the csrf token is stored
  } 
})

3.路由配置

要启用单路由配置，请使用如下routerrules：

export default defineNuxtConfig({
  routeRules: {
    '/api/nocsrf': {
      csurf: false
    },
    '/api/test': {
      csurf: {
        methodsToProtect: ['POST'] // protect POST request only
      }
    }
  }
})

useCsrfFetch

该方法为useFetch提供了一个方便的包装，它会自动在报头中添加CSRF令牌。

const { data, pending, error, refresh } = useCsrfFetch('/api/login', { query: param1: 'value1' })

$csrfFetch

这个帮助器为$fetch提供了一个方便的包装，它会自动在报头中添加CSRF令牌。

const { $csrfFetch } = useNuxtApp()
const { data } = await $csrfFetch('/api/login', { method: 'POST', body: …, headers: … })

useCsrf

如果需要访问CSRF令牌值，使用下面写法

const { csrf } = useCsrf()
console.log(csrf) // something like: mo4+MrFaeXP7fhAie0o2qw==:tLUaqtHW6evx/coGQVAhtGAR+v6cxgFtrqmkOsuAMag8PHRnMwpbGGUO0TPJjL+4

本地环境配置

NITRO_CSURF_HTTPS=false
NITRO_CSURF_COOKIE_KEY=csrf

限制

CSRF令牌值存储在DOM中，如Owasp的CSRF备忘单中所述。因此，必须为每个新页面请求生成DOM，而静态站点（或预呈现路由）则不是这样。

4.设置 Express 中间件

在你的 Nuxt.js 项目的服务器端配置中，使用 Express 作为服务器时，你可以通过修改 serverMiddleware 来添加 csurf 中间件。

代码示例 server/index.js

const express = require('express');
const cookieParser = require('cookie-parser');
const csurf = require('csurf');
const { Nuxt } = require('nuxt3');
const app = express();
 
// 使用 cookie-parser 中间件
app.use(cookieParser());
 
// CSRF 保护中间件
const csrfProtection = csurf({ cookie: true });
app.use(csrfProtection);
 
// Nuxt.js 应用实例
const nuxtApp = new Nuxt({
  // Nuxt 配置项
});
 
app.use(nuxtApp.getRequestHandler());
 
module.exports = app;

5.在 Vue 组件中使用 CSRF Token

在 Vue 组件中，你可以通过 HTTP 请求的头信息发送 CSRF Token。

首先，在 Vue 组件中获取 CSRF Token。通常，CSRF Token 会被存储在 cookie 中，名为 XSRF-TOKEN。

在 Vue 组件中获取 CSRF Token 并发送

<template>
  <v-btn @click="submitForm">提交</v-btn>
</template>
 
<script lang="ts">
import { defineComponent } from 'vue';
import axios from 'axios'; // 确保已安装并配置 axios
 
export default defineComponent({
  name: 'MyComponent',
  methods: {
    async submitForm() {
      try {
        const csrfToken = document.cookie.replace(/(?:(?:^|.*;\s*)XSRF-TOKEN\s*=\s*([^;]*).*$)|^.*$/, '$1');
        const response = await axios.post('/your-endpoint', { /* 数据 */ }, {
          headers: { 'X-XSRF-TOKEN': csrfToken } // 使用 X-XSRF-TOKEN 作为自定义头部名称发送 CSRF Token
        });
        console.log(response.data); // 处理响应数据
      } catch (error) {
        console.error(error); // 处理错误情况
      }
    }
  }
});
</script>

6.在服务器端验证 CSRF Token

确保你的服务器端路由处理函数能够正确验证 CSRF Token。在 Express 中，csurf 中间件会自动验证请求中的 CSRF Token。如果 Token 不匹配或不存在，它将返回一个错误。你可以这样捕获这个错误：

示例 server/index.js (继续之前的代码)

app.post('/your-endpoint', (req, res, next) => {
  // 如果 CSRF Token 不匹配，将调用 next(error) 并返回 403 状态码和错误信息。
  next(); // 如果一切正常，继续处理请求。通常你会在这里处理你的业务逻辑。
});

7.测试和调试

最后，确保在开发过程中测试 CSRF 保护是否有效。你可以尝试禁用 CSRF Token 或使用错误的 Token 来查看服务器是否正确响应了错误（通常是 HTTP 403 Forbidden）。使用浏览器的开发者工具来检查请求和响应的头部信息也是一个好方法。

通过以上步骤，你可以在 Vue 3 + Nuxt 3 + Vuetify 3 + TypeScript 项目中集成并使用 csurf 来增强安全性。

2.nuxt-security

通过使用HTTP报头和中间件自动配置您的应用程序以遵循OWASP安全模式和原则。

特性

安全响应头（包括SSG应用的CSP）

请求大小和速率限制器

跨站点脚本（XSS）验证

跨域资源共享（CORS）支持

隐藏X-Powered-By头并删除控制台日志记录器utils

[可选]允许的HTTP方法，基本认证，CSRF

官网文档： Security - Nuxt 模块 - Nuxt 中文文档

1.安装命令

npx nuxi@latest module add security

或

npm install nuxt-security
# 或者使用 yarn
yarn add nuxt-security

模块现在将全局注册路由规则和服务器中间件，这样你的应用程序将更加安全。

2.配置文件

示例 nuxt.config.ts

export default defineNuxtConfig({
  modules: ["nuxt-security"],
  security: {
    // options
  }
})

详细配置仅做参考

// nuxt.config.ts
export default defineNuxtConfig({
  modules: [
    'nuxt-security'
  ],
  // 你可以在这里添加 nuxt-security 的具体配置选项
  security: {
    csp: {
      // CSP 配置选项
      reportOnly: process.env.NODE_ENV !== 'production', // 在非生产环境下设置为 reportOnly
      directives: {
        "default-src": ["'self'"],
        "script-src": ["'self'", "'unsafe-inline'"], // 根据需要调整策略
        "style-src": ["'self'", "'unsafe-inline'"],
        "img-src": ["'self'", 'data:', 'https://example.com'], // 根据需要调整策略
        "font-src": ["'self'"],
        "connect-src": ["'self'", 'https://api.example.com'], // 根据需要调整策略
        "object-src": ["'none'"],
        "base-uri": ["'self'"],
        "frame-ancestors": ["'none'"],
        "form-action": ["'self'"]
      }
    },
    hsts: {
      maxAge: 31536000, // 1年
      includeSubDomains: true
    },
    // 其他安全配置...
  }
});

3.运行Nuxt 应用

配置完成后，你可以像往常一样运行你的 Nuxt 应用：

npm run dev
# 或者使用 yarn
yarn dev

生成类型存根

yarn dev:prepare

4.测试和调整配置

在开发过程中，根据实际需要调整 nuxt-security 的配置。你可以通过浏览器的开发者工具查看响应头，确保 CSP 和其他安全相关的 HTTP 头被正确设置。此外，确保在生产环境中启用所有安全特性，并在必要时调整策略以适应你的应用需求。

5. 生产环境注意事项

在将应用部署到生产环境前，确保所有安全相关的设置都已正确配置，并且测试过应用的响应头以验证它们是否按预期工作。特别是 CSP 和 HSTS，它们对保护你的网站免受各种安全威胁至关重要。

通过上述步骤，你可以在你的 Nuxt 3 项目中成功集成并配置 nuxt-security 模块，从而提升应用的安全性。

3.nuxt-auth

nuxt-auth 提供了一个简单的方式来管理用户登录、注册、注销等功能。下面是如何在你的 Nuxt 3 项目中引入和使用 nuxt-auth 的步骤：

1.官方安装

安装 nuxt-auth 模块。在你的项目根目录下打开终端，运行以下命令：

npm install @nuxtjs/auth-next

配置nuxt-auth

安装完成后，你需要在 nuxt.config.js 或 nuxt.config.ts 文件中配置 nuxt-auth。例如，如果你想要使用 @nuxtjs/auth-next 与 next-auth 集成，你可以这样配置：

// nuxt.config.js 或 nuxt.config.ts
export default {
  modules: [
    '@nuxtjs/auth-next', // 这里使用 nuxt-auth 的最新版本
  ],
  auth: {
    strategies: {
      local: {
        endpoints: {
          login: { url: '/api/auth/login', method: 'post' },
          logout: { url: '/api/auth/logout', method: 'post' },
          user: { url: '/api/auth/user', method: 'get' }
        }
      }
    }
  }
}

创建 API 端点

在你的 Node.js 后端（例如使用 Express），你需要创建相应的 API 端点来处理登录、登出和获取用户信息。例如

// server/api/auth/login.js (Express 示例)
const express = require('express');
const router = express.Router();
const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');
const User = require('../../models/User'); // 假设你有一个 User 模型
 
router.post('/', async (req, res) => {
  const { email, password } = req.body;
  const user = await User.findOne({ email });
  if (user && await bcrypt.compare(password, user.password)) {
    const token = jwt.sign({ id: user._id }, process.env.JWT_SECRET, { expiresIn: '1d' });
    res.json({ token });
  } else {
    res.status(401).

最低0.47元/天解锁文章