Mettre en place l’authentification JWT avec Node.js et Express
L’implémentation de l’authentification JWT (JSON Web Token) au sein d’une application Node.js utilisant Express constitue une méthode moderne et sécurisée pour gérer l’accès des utilisateurs. Grâce à cette technique, chaque utilisateur peut se voir attribuer un jeton d’accès lors de son authentification, permettant des interactions sécurisées avec l’API sur une durée définie. Ce processus, fondé sur des standards ouverts, assure non seulement l’identité des utilisateurs, mais il offre également une flexibilité pour développer des applications scalables et performantes.
Dans le développement d’applications web modernes, assurer la sécurité des utilisateurs est primordial. L’authentification JSON Web Tokens (JWT) est une méthode de plus en plus populaire pour sécuriser les applications basées sur des API. Cet article vous guidera à travers les étapes essentielles pour mettre en place un système d’authentification avec JWT en utilisant Node.js et Express. Nous aborderons l’installation des dépendances nécessaires, la configuration de votre serveur, la création des routes d’authentification et la protection des routes avec des middleware.
Installation des dépendances nécessaires
Avant de commencer à coder, il est important de s’assurer que vous disposez des bibliothèques adéquates dans votre projet. Les bibliothèques Express, jsonwebtoken et bcrypt vous permettront d’implémenter l’authentification JWT efficacement.
Pour installer ces dépendances, ouvrez votre terminal et exécutez la commande suivante :
<!– wp:code {"content":"npm install express jsonwebtoken bcryptnpm install express jsonwebtoken bcrypt
Cette commande téléchargera et installera les packages nécessaires à votre projet. Bcrypt est spécifiquement utilisé pour le hachage des mots de passe, ce qui permet de stocker les mots de passe de manière sécurisée. Jsonwebtoken vous aidera à générer des tokens et à les vérifier.
Configurer votre serveur Express
Une fois les dépendances installées, il est temps de configurer votre serveur. Créez un fichier nommé server.js et configurez votre serveur Express. Voici un exemple de code de base pour initialiser le serveur :
<!– wp:code {"content":"const express = require('express');nconst bodyParser = require('body-parser');nconst app = express();nnapp.use(bodyParser.json());nnapp.listen(3000, () => {n console.log('Server is running on port 3000');n});const express = require('express'); const bodyParser = require('body-parser'); const app = express(); app.use(bodyParser.json()); app.listen(3000, () => { console.log('Server is running on port 3000'); });
Ce code initialise un serveur Express qui écoute sur le port 3000. Le middleware body-parser est utilisé pour analyser les requêtes entrantes en JSON, facilitant ainsi la gestion des données envoyées par les clients.
Créer des routes d’authentification
Pour permettre aux utilisateurs de s’inscrire et de se connecter, vous devez créer des routes d’authentification. Commençons par la route d’inscription où nous allons hacher le mot de passe avant de l’enregistrer dans une base de données (à simuler pour cet exemple).
<!– wp:code {"content":"app.post('/register', async (req, res) => {n const hashedPassword = await bcrypt.hash(req.body.password, 10);n // Enregistrez l'utilisateur dans la base de donnu00e9es avec le mot de passe hachu00e9n res.status(201).send('User registered');n});app.post('/register', async (req, res) => { const hashedPassword = await bcrypt.hash(req.body.password, 10); // Enregistrez l'utilisateur dans la base de données avec le mot de passe haché res.status(201).send('User registered'); });
Dans ce code, nous attendons que l’utilisateur fournisse un mot de passe via le corps de la requête. Ensuite, avec bcrypt, nous hachons ce mot de passe avant de l’enregistrer dans la base de données.
Ensuite, créons la route de connexion qui va vérifier les identifiants de l’utilisateur et générer un token JWT :
<!– wp:code {"content":"app.post('/login', async (req, res) => {n const user = // Ru00e9cupu00e9rez l'utilisateur de la base de donnu00e9esn if (user && await bcrypt.compare(req.body.password, user.password)) {n const token = jwt.sign({ id: user.id }, 'votre_secret', { expiresIn: '1h' });n res.json({ token });n } else {n res.status(401).send('Invalid credentials');n }n});app.post('/login', async (req, res) => { const user = // Récupérez l'utilisateur de la base de données if (user && await bcrypt.compare(req.body.password, user.password)) { const token = jwt.sign({ id: user.id }, 'votre_secret', { expiresIn: '1h' }); res.json({ token }); } else { res.status(401).send('Invalid credentials'); } });
Dans cette fonction, nous cherchons l’utilisateur dans la base de données. Si l’utilisateur est trouvé et que le mot de passe fourni correspond au mot de passe haché, un token JWT est généré et envoyé au client.
Protéger les routes avec des middleware
Maintenant que vous avez des routes d’authentification, il est essentiel de protéger celles qui ne doivent pas être accessibles sans un token valide. Vous allez créer un middleware pour vérifier le token JWT.
<!– wp:code {"content":"function authenticateToken(req, res, next) {n const token = req.headers['authorization'];n if (!token) return res.sendStatus(401);n n jwt.verify(token, 'votre_secret', (err, user) => {n if (err) return res.sendStatus(403);n req.user = user;n next();n });n}function authenticateToken(req, res, next) { const token = req.headers['authorization']; if (!token) return res.sendStatus(401); jwt.verify(token, 'votre_secret', (err, user) => { if (err) return res.sendStatus(403); req.user = user; next(); }); }
Ce middleware doit être ajouté aux routes sensibles. Si aucune token n’est fourni ou si le token est invalide, la réponse 401 est renvoyée, indiquant que l’utilisateur n’est pas autorisé.
Pour ajouter ce middleware à une route, cela se fait facilement en l’incluant dans la définition de votre route :
<!– wp:code {"content":"app.get('/protected', authenticateToken, (req, res) => {n res.send('This is a protected route');n});app.get('/protected', authenticateToken, (req, res) => { res.send('This is a protected route'); });
Dans ce cas, la route /protected ne sera accessible que si une authentification valide a été effectuée. Si l’utilisateur ne dispose pas du token, il ne pourra pas accéder à cette ressource.
Tester votre application
Une fois toutes les routes créées et les middlewares en place, il est temps de tester votre application. Pour interagir avec votre API, vous pouvez utiliser des outils comme Postman ou Insomnia.
Pour l’inscription, envoyez une requête POST à http://localhost:3000/register avec un JSON tel que :
<!– wp:code {"content":"{"username":"testuser", "password":"testpassword"}{"username":"testuser", "password":"testpassword"}
Une fois l’inscription effectuée, vous pouvez ensuite vous connecter via la route /login et obtenir un token. Ce token devra être inclus dans l’en-tête Authorization lors de l’accès à vos routes protégées :
<!– wp:code {"content":"Authorization: Bearer votre_tokenAuthorization: Bearer votre_token
Pour plus d’informations concernant la sécurisation d’une application Express.js avec JWT, vous pouvez consulter ce lien.
En suivant ces étapes, vous pouvez mettre en place un système d’authentification JWT sécurisé dans votre application Node.js et Express. Cela vous permet non seulement de protéger vos données, mais également de gérer facilement les sessions utilisateur de manière scalable et sans état.
Comparaison des méthodes d’authentification avec Node.js
| Aspect | Authentification JWT |
|---|---|
| Stockage de l’utilisateur | Utilisateur stocké côté client pour les sessions |
| Complexité | Moyennement complexe, nécessite la gestion des tokens |
| Scalabilité | Excellente, pas de sessions serveur à gérer |
| Sécurité | Tokens signés, peut expirer pour une sécurité accrue |
| Performances | Rapide, réduit les appels au serveur pour valider les sessions |
| Requêtes | HTTP seulement sans stockage de session |
| Interopérabilité | Compatible avec plusieurs plateformes et langages |
| Cookies | Ne nécessite pas de cookies, utilise des headers |
| Utilisation | Idéal pour des applications SPA et mobile |
| Gestion d’erreurs | Doit être gérée par le client au moment du token expiré |
La mise en œuvre de l’authentification JWT (Json Web Token) dans une application Node.js et Express représente une approche moderne pour sécuriser les interactions entre clients et serveurs. En utilisant des tokens pour l’authentification, nous pouvons offrir une méthode de validation qui ne nécessite pas de conserver l’état côté serveur, facilitant ainsi la gestion des sessions.
Il est primordial de commencer par la création des routes d’inscription et de connexion, où les mots de passe des utilisateurs doivent être hachés pour garantir leur sécurité. Ensuite, l’émission de tokens lors de la connexion permet aux utilisateurs d’interagir avec des ressources protégées de manière sécurisée.
Pour chaque requête nécessitant une authentification, un middleware doit être mis en place pour vérifier le token, en s’assurant qu’il est valide et qu’il n’est pas expiré. Cette méthode non seulement augmente la sécurité de l’application, mais permet également une scalabilité et une meilleure gestion des ressources.
En intégrant JWT dans votre application, vous offrez à vos utilisateurs une experience fluide et sécurisée, tout en optimisant les performances de votre système.
