Hono

Appearance

Bearer 认证中间件

Bearer 认证中间件通过验证请求头中的 API 令牌来提供身份认证。 访问端点的 HTTP 客户端将添加 Authorization 头,并将 Bearer {token} 作为头值。

在终端中使用 curl,看起来是这样的:

sh
curl -H 'Authorization: Bearer honoiscool' http://localhost:8787/auth/page

导入

ts
import { Hono } from 'hono'
import { bearerAuth } from 'hono/bearer-auth'

用法

NOTE

您的 token 必须匹配正则表达式 /[A-Za-z0-9._~+/-]+=*/,否则将返回 400 错误。值得注意的是,此正则表达式同时兼容 URL 安全的 Base64 和标准 Base64 编码的 JWT。此中间件不要求 bearer 令牌必须是 JWT,只要它匹配上述正则表达式即可。

ts
const app = new Hono()

const token = 'honoiscool'

app.use('/api/*', bearerAuth({ token }))

app.get('/api/page', (c) => {
  return c.json({ message: 'You are authorized' })
})

要限制为特定路由 + 方法:

ts
const app = new Hono()

const token = 'honoiscool'

app.get('/api/page', (c) => {
  return c.json({ message: 'Read posts' })
})

app.post('/api/page', bearerAuth({ token }), (c) => {
  return c.json({ message: 'Created post!' }, 201)
})

要实现多令牌(例如,任何有效令牌都可以读取,但创建/更新/删除仅限于特权令牌):

ts
const app = new Hono()

const readToken = 'read'
const privilegedToken = 'read+write'
const privilegedMethods = ['POST', 'PUT', 'PATCH', 'DELETE']

app.on('GET', '/api/page/*', async (c, next) => {
  // 有效令牌列表
  const bearer = bearerAuth({ token: [readToken, privilegedToken] })
  return bearer(c, next)
})
app.on(privilegedMethods, '/api/page/*', async (c, next) => {
  // 单个有效特权令牌
  const bearer = bearerAuth({ token: privilegedToken })
  return bearer(c, next)
})

// 定义 GET、POST 等处理器

如果您想自行验证令牌的值,请指定 verifyToken 选项;返回 true 表示接受。

ts
const app = new Hono()

app.use(
  '/auth-verify-token/*',
  bearerAuth({
    verifyToken: async (token, c) => {
      return token === 'dynamic-token'
    },
  })
)

选项

必需 token: string | string[]

用于验证传入 bearer 令牌的字符串。

可选 realm: string

域名的领域名称,作为返回的 WWW-Authenticate 挑战头的一部分。默认值为 ""。 查看更多:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/WWW-Authenticate#directives

可选 prefix: string

Authorization 头值的前缀(或称为 schema)。默认值为 "Bearer"

可选 headerName: string

头名称。默认值为 Authorization

可选 hashFunction: Function

用于处理哈希的函数,以便安全地比较身份验证令牌。

可选 verifyToken: (token: string, c: Context) => boolean | Promise<boolean>

用于验证令牌的函数。

可选 noAuthenticationHeader: object

自定义请求没有身份验证头时的错误响应。

  • wwwAuthenticateHeader: string | object | MessageFunction - 自定义 WWW-Authenticate 头值。
  • message: string | object | MessageFunction - 响应体的自定义消息。

MessageFunction(c: Context) => string | object | Promise<string | object>

可选 invalidAuthenticationHeader: object

自定义身份验证头格式无效时的错误响应。

  • wwwAuthenticateHeader: string | object | MessageFunction - 自定义 WWW-Authenticate 头值。
  • message: string | object | MessageFunction - 响应体的自定义消息。

可选 invalidToken: object

自定义令牌无效时的错误响应。

  • wwwAuthenticateHeader: string | object | MessageFunction - 自定义 WWW-Authenticate 头值。
  • message: string | object | MessageFunction - 响应体的自定义消息。