用 Rust 構建 API 系列教程：第三部分

關注「Rust 編程指北」，一起學習 Rust，給未來投資

大家好，我是胖蟹哥。

今天繼續使用 Rust 構建 API，第三部分，也是最後一部分。

這部分，我將解釋如何使用 JWT (JSON Web Token) 保護 POST /items 端點。

同樣，我把所有代碼放在同一個文件 (src/main.rs) 中，實際項目你不應該這麼做。

準備

我們需要在 .env 文件中增加一個新的環境變量。打開 .env 文件，然後在 MONGODB_URI 下方添加一個名爲 JWT_SECRET 的新變量，並將值設置爲你喜歡的任何值。

添加新的依賴項

我們需要添加一個新的依賴：jsonwebtoken。

jsonwebtoken 是一個允許我們對 JWTs 進行編碼、解碼和驗證的 crate。

用新的依賴項更新 Cargo.toml 文件。

[dependencies]
tide = "0.16"
async-std = { version = "1", features = ["attributes"] }
serde = { version = "1", features = ["derive"] }
dotenv = "0.15"
mongodb = { version = "1", features = ["async-std-runtime"], default-features = false }
jsonwebtoken = "7"

開始編碼

We need to make some modifications to the code. First update the imports with the following

我們需要對代碼進行一些修改。首先是導入部分：

use async_std::stream::StreamExt;
use dotenv::dotenv;
use jsonwebtoken;
use mongodb::bson::doc;
use serde::{Deserialize, Serialize};
use std::{env, future::Future, pin::Pin};
use tide::{Body, Next, Request, Response, StatusCode};

這些都是我們將使用到的模塊。

我們需要創建一個新的結構體來定義 JWT 的有效負載（payload）。我不會在有效負載中添加任何內容，所以它只是一個空結構體。

在 src/main.rs 文件中添加以下內容：

#[derive(Serialize, Deserialize)]
struct TokenClaims {}

現在我們有了 TokenClaims，我們需要編寫中間件函數。加到 src/main.rs 中：

fn auth_middleware<'a>(
  req: Request<State>,
  next: Next<'a, State>,
) -> Pin<Box<dyn Future<Output = tide::Result> + Send + 'a>> {
  return Box::pin(async {
    // Retrieve the "Authorization" header from the request
    let authorization_header = req.header("Authorization");

    // Check that the "Authorization" header is not missing
    // if it is missing, respond with 401
    let authorization_header = match authorization_header {
      Some(h) => h.as_str(),
      None => {
        return Ok(Response::new(StatusCode::Unauthorized));
      }
    };

    // Attempt to remove the "Bearer " prefix
    // if it does not start with "Bearer " respond with 401
    let token = match authorization_header.strip_prefix("Bearer ") {
      Some(t) => t,
      None => {
        return Ok(Response::new(StatusCode::Unauthorized));
      }
    };

    // Retrieve the "JWT_SECRET" environment variable
    let secret = env::var("JWT_SECRET").unwrap();

    // Decode the JWT
    let token = jsonwebtoken::decode::<TokenClaims>(
      token,
      &jsonwebtoken::DecodingKey::from_secret(secret.as_ref()),
      // Do not require the "exp" claim in the token payload
      &jsonwebtoken::Validation {
        validate_exp: false,
        ..Default::default()
      },
    );

    // If there was an error when decoding the token respond with 401
    if token.is_err() {
      return Ok(Response::new(StatusCode::Unauthorized));
    }

    // The request is authorized, proceed with the next controller
    return Ok(next.run(req).await);
  });
}

注意上面的註釋。

總之，中間件檢查請求中是否有一個 Authorization 頭。然後它嘗試從頭部獲取 JWT。最後，使用 jsonwebtoken crate，嘗試解碼 JWT。如果在處理過程中出現任何錯誤，該函數將使用 401 HTTP 狀態碼對未經授權進行響應。否則，請求被授權，中間件運行鏈中的下一個控制器。

我們必須修改主函數來使用這個新的中間件，像這樣更新 POST /items 路由：

app.at("/items").with(auth_middleware).post(post_item);

啓動服務器測試下：

cargo run

如果你想發送一個 POST 請求到 /items ( http://localhost:8080/items ) ，你會得到一個 401 狀態碼。

你需要使用在 .env 文件中設置的祕鑰生成一個 JWT。一個簡單的方法是轉到 jwt.io，將有效負載更改爲空 JSON 對象 {} ，並用自己的方法替換默認的 secret。然後你可以複製這個 token。

在發送請求之前，請確保添加一個  Authorization 頭，其值爲 Bearer YOUR_JWT_TOKEN。當然，用實際的令牌替換 YOUR_JWT_TOKEN。

現在，如果你嘗試再次發送 POST 請求，你應該得到一個 200 狀態代碼！

完結

本系列教程就結束了。

沒有涉及到很多複雜的內容，但講解了 Web API 涉及到的一些基本知識。通過框架，Rust 開發 API 也還是挺快的，你覺得呢？

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/jtmkEdlMxqI-RQWBoqx1bw