۲۳ مهر ۱۴۰۴فارسی

الگوهای احراز هویت قوی و امن (type-safe) با JWT در تایپ‌اسکریپت را برای برنامه‌های جهانی امن و قابل نگهداری کاوش کنید. بهترین شیوه‌ها برای مدیریت داده‌ها، نقش‌ها و مجوزهای کاربر را بیاموزید.

احراز هویت با تایپ‌اسکریپت: الگوهای امنیت نوع JWT برای برنامه‌های جهانی

در دنیای متصل امروز، ساخت برنامه‌های جهانی امن و قابل اعتماد از اهمیت بالایی برخوردار است. احراز هویت، یعنی فرآیند تأیید هویت کاربر، نقشی حیاتی در حفاظت از داده‌های حساس و تضمین دسترسی مجاز ایفا می‌کند. توکن‌های وب جیسون (JWT) به دلیل سادگی و قابلیت حمل، به گزینه‌ای محبوب برای پیاده‌سازی احراز هویت تبدیل شده‌اند. هنگامی که با سیستم نوع قدرتمند تایپ‌اسکریپت ترکیب می‌شود، احراز هویت JWT می‌تواند حتی قوی‌تر و قابل نگهداری‌تر شود، به‌ویژه برای پروژه‌های بزرگ و بین‌المللی.

چرا از تایپ‌اسکریپت برای احراز هویت JWT استفاده کنیم؟

تایپ‌اسکریپت هنگام ساخت سیستم‌های احراز هویت مزایای متعددی را به همراه دارد:

امنیت نوع (Type Safety): تایپ‌گذاری استاتیک تایپ‌اسکریپت به شناسایی خطاها در مراحل اولیه توسعه کمک می‌کند و خطر غافلگیری‌های زمان اجرا را کاهش می‌دهد. این امر برای اجزای حساس به امنیت مانند احراز هویت بسیار حیاتی است.
بهبود قابلیت نگهداری کد: انواع (Types) قراردادها و مستندات روشنی را فراهم می‌کنند که درک، اصلاح و بازسازی کد را آسان‌تر می‌سازد، به‌ویژه در برنامه‌های جهانی پیچیده که ممکن است چندین توسعه‌دهنده در آن دخیل باشند.
تکمیل کد و ابزارهای پیشرفته: IDEهایی که از تایپ‌اسکریپت پشتیبانی می‌کنند، تکمیل کد، ناوبری و ابزارهای بازسازی بهتری ارائه می‌دهند که بهره‌وری توسعه‌دهندگان را افزایش می‌دهد.
کاهش کدهای تکراری (Boilerplate): ویژگی‌هایی مانند اینترفیس‌ها و جنریک‌ها می‌توانند به کاهش کدهای تکراری و بهبود قابلیت استفاده مجدد از کد کمک کنند.

درک JWTها

یک JWT روشی فشرده و امن برای URL است تا ادعاها (claims) را بین دو طرف منتقل کند. این توکن از سه بخش تشکیل شده است:

هدر (Header): الگوریتم و نوع توکن را مشخص می‌کند.
پیلود (Payload): شامل ادعاها، مانند شناسه کاربر، نقش‌ها و زمان انقضا است.
امضا (Signature): یکپارچگی توکن را با استفاده از یک کلید مخفی تضمین می‌کند.

JWTها معمولاً برای احراز هویت استفاده می‌شوند زیرا می‌توان آن‌ها را به راحتی در سمت سرور تأیید کرد بدون اینکه نیازی به پرس‌وجو از پایگاه داده برای هر درخواست باشد. با این حال، ذخیره‌سازی اطلاعات حساس به طور مستقیم در پیلود JWT به طور کلی توصیه نمی‌شود.

پیاده‌سازی احراز هویت امن از نظر نوع با JWT در تایپ‌اسکریپت

بیایید برخی از الگوها برای ساخت سیستم‌های احراز هویت JWT امن از نظر نوع در تایپ‌اسکریپت را بررسی کنیم.

1. تعریف انواع پیلود با اینترفیس‌ها

با تعریف یک اینترفیس که ساختار پیلود JWT شما را نشان می‌دهد، شروع کنید. این کار تضمین می‌کند که هنگام دسترسی به ادعاها در توکن، امنیت نوع را خواهید داشت.


interface JwtPayload {
  userId: string;
  email: string;
  roles: string[];
  iat: number; // زمان صدور (timestamp)
  exp: number; // زمان انقضا (timestamp)
}

این اینترفیس شکل مورد انتظار پیلود JWT را تعریف می‌کند. ما ادعاهای استاندارد JWT مانند `iat` (زمان صدور) و `exp` (زمان انقضا) را که برای مدیریت اعتبار توکن حیاتی هستند، اضافه کرده‌ایم. شما می‌توانید هر ادعای دیگری که به برنامه شما مربوط است، مانند نقش‌های کاربر یا مجوزها را اضافه کنید. بهتر است ادعاها را به اطلاعات ضروری محدود کنید تا اندازه توکن به حداقل برسد و امنیت بهبود یابد.

مثال: مدیریت نقش‌های کاربری در یک پلتفرم تجارت الکترونیک جهانی

یک پلتفرم تجارت الکترونیک را در نظر بگیرید که به مشتریان در سراسر جهان خدمات ارائه می‌دهد. کاربران مختلف نقش‌های متفاوتی دارند:

مدیر (Admin): دسترسی کامل برای مدیریت محصولات، کاربران و سفارش‌ها.
فروشنده (Seller): می‌تواند محصولات خود را اضافه و مدیریت کند.
مشتری (Customer): می‌تواند محصولات را مشاهده و خریداری کند.

آرایه `roles` در `JwtPayload` می‌تواند برای نمایش این نقش‌ها استفاده شود. شما می‌توانید ویژگی `roles` را به یک ساختار پیچیده‌تر گسترش دهید که حقوق دسترسی کاربر را به صورت دقیق‌تری نشان دهد. به عنوان مثال، می‌توانید لیستی از کشورهایی که کاربر به عنوان فروشنده مجاز به فعالیت در آن‌ها است، یا آرایه‌ای از فروشگاه‌هایی که کاربر به آن‌ها دسترسی مدیریتی دارد را داشته باشید.

2. ایجاد یک سرویس JWT تایپ‌شده

سرویسی ایجاد کنید که ایجاد و تأیید JWT را مدیریت کند. این سرویس باید از اینترفیس `JwtPayload` برای تضمین امنیت نوع استفاده کند.


import jwt from 'jsonwebtoken';

const JWT_SECRET = process.env.JWT_SECRET || 'your-secret-key'; // به صورت امن ذخیره کنید!

class JwtService {
  static sign(payload: Omit, expiresIn: string = '1h'): string {
    const now = Math.floor(Date.now() / 1000);
    const payloadWithTimestamps: JwtPayload = {
        ...payload,
        iat: now,
        exp: now + parseInt(expiresIn) * 60 * 60,
    };
    return jwt.sign(payloadWithTimestamps, JWT_SECRET);
  }

  static verify(token: string): JwtPayload | null {
    try {
      const decoded = jwt.verify(token, JWT_SECRET) as JwtPayload;
      return decoded;
    } catch (error) {
      console.error('خطای تأیید JWT:', error);
      return null;
    }
  }
}

این سرویس دو متد ارائه می‌دهد:

`sign()`: یک JWT از یک پیلود ایجاد می‌کند. این متد یک `Omit` می‌گیرد تا اطمینان حاصل شود که `iat` و `exp` به طور خودکار تولید می‌شوند. مهم است که `JWT_SECRET` را به صورت امن، ترجیحاً با استفاده از متغیرهای محیطی و یک راه‌حل مدیریت اسرار، ذخیره کنید.
`verify()`: یک JWT را تأیید می‌کند و در صورت معتبر بودن، پیلود رمزگشایی‌شده را برمی‌گرداند، یا در صورت نامعتبر بودن، `null` را برمی‌گرداند. ما پس از تأیید از یک type assertion به صورت `as JwtPayload` استفاده می‌کنیم که امن است، زیرا متد `jwt.verify` یا یک خطا پرتاب می‌کند (که در بلوک `catch` گرفته می‌شود) یا یک شیء مطابق با ساختار پیلودی که تعریف کرده‌ایم برمی‌گرداند.

ملاحظات امنیتی مهم:

مدیریت کلید مخفی: هرگز کلید مخفی JWT خود را به صورت هاردکد در کد خود قرار ندهید. از متغیرهای محیطی یا یک سرویس مدیریت اسرار اختصاصی استفاده کنید. کلیدها را به طور منظم بچرخانید (Rotate کنید).
انتخاب الگوریتم: یک الگوریتم امضای قوی مانند HS256 یا RS256 انتخاب کنید. از الگوریتم‌های ضعیف مانند `none` خودداری کنید.
انقضای توکن: زمان‌های انقضای مناسب برای JWTهای خود تنظیم کنید تا تأثیر توکن‌های به سرقت رفته را محدود کنید.
ذخیره‌سازی توکن: JWTها را به صورت امن در سمت کلاینت ذخیره کنید. گزینه‌ها شامل کوکی‌های HTTP-only یا local storage با اقدامات احتیاطی مناسب در برابر حملات XSS است.

3. محافظت از نقاط پایانی API با میان‌افزار (Middleware)

یک میان‌افزار برای محافظت از نقاط پایانی API خود با تأیید JWT در هدر `Authorization` ایجاد کنید.


import { Request, Response, NextFunction } from 'express';

interface RequestWithUser extends Request {
  user?: JwtPayload;
}

function authenticate(req: RequestWithUser, res: Response, next: NextFunction) {
  const authHeader = req.headers.authorization;

  if (!authHeader) {
    return res.status(401).json({ message: 'Unauthorized' });
  }

  const token = authHeader.split(' ')[1]; // با فرض توکن Bearer
  const decoded = JwtService.verify(token);

  if (!decoded) {
    return res.status(401).json({ message: 'Invalid token' });
  }

  req.user = decoded;
  next();
}

export default authenticate;

این میان‌افزار JWT را از هدر `Authorization` استخراج می‌کند، آن را با استفاده از `JwtService` تأیید می‌کند و پیلود رمزگشایی‌شده را به شیء `req.user` متصل می‌کند. ما همچنین یک اینترفیس `RequestWithUser` تعریف می‌کنیم تا اینترفیس استاندارد `Request` از Express.js را گسترش دهیم و یک ویژگی `user` از نوع `JwtPayload | undefined` به آن اضافه کنیم. این امر هنگام دسترسی به اطلاعات کاربر در مسیرهای محافظت‌شده، امنیت نوع را فراهم می‌کند.

مثال: مدیریت مناطق زمانی در یک برنامه جهانی

تصور کنید برنامه شما به کاربران از مناطق زمانی مختلف اجازه می‌دهد رویدادها را برنامه‌ریزی کنند. ممکن است بخواهید منطقه زمانی ترجیحی کاربر را در پیلود JWT ذخیره کنید تا زمان‌های رویداد به درستی نمایش داده شوند. می‌توانید یک ادعای `timeZone` به اینترفیس `JwtPayload` اضافه کنید:


interface JwtPayload {
  userId: string;
  email: string;
  roles: string[];
  timeZone: string; // به عنوان مثال، 'America/Los_Angeles', 'Asia/Tokyo'
  iat: number;
  exp: number;
}

سپس، در میان‌افزار یا کنترل‌کننده‌های مسیر خود، می‌توانید به `req.user.timeZone` دسترسی پیدا کنید تا تاریخ‌ها و زمان‌ها را مطابق با ترجیح کاربر قالب‌بندی کنید.

4. استفاده از کاربر احراز هویت شده در کنترل‌کننده‌های مسیر

در کنترل‌کننده‌های مسیر محافظت‌شده خود، اکنون می‌توانید با امنیت نوع کامل به اطلاعات کاربر احراز هویت شده از طریق شیء `req.user` دسترسی داشته باشید.


import express, { Request, Response } from 'express';
import authenticate from './middleware/authenticate';

const app = express();

app.get('/profile', authenticate, (req: Request, res: Response) => {
  const user = (req as any).user; // یا از RequestWithUser استفاده کنید
  res.json({ message: `سلام، ${user.email}!`, userId: user.userId });
});

این مثال نشان می‌دهد چگونه به ایمیل و شناسه کاربر احراز هویت شده از شیء `req.user` دسترسی پیدا کنید. از آنجا که ما اینترفیس `JwtPayload` را تعریف کرده‌ایم، تایپ‌اسکریپت ساختار مورد انتظار شیء `user` را می‌داند و می‌تواند بررسی نوع و تکمیل کد را ارائه دهد.

5. پیاده‌سازی کنترل دسترسی مبتنی بر نقش (RBAC)

برای کنترل دسترسی دقیق‌تر، می‌توانید RBAC را بر اساس نقش‌های ذخیره شده در پیلود JWT پیاده‌سازی کنید.


function authorize(roles: string[]) {
  return (req: RequestWithUser, res: Response, next: NextFunction) => {
    const user = req.user;

    if (!user || !user.roles.some(role => roles.includes(role))) {
      return res.status(403).json({ message: 'Forbidden' });
    }

    next();
  };
}

این میان‌افزار `authorize` بررسی می‌کند که آیا نقش‌های کاربر شامل هر یک از نقش‌های مورد نیاز است یا خیر. در غیر این صورت، خطای 403 Forbidden را برمی‌گرداند.


app.get('/admin', authenticate, authorize(['admin']), (req: Request, res: Response) => {
  res.json({ message: 'خوش آمدید، مدیر!' });
});

این مثال از مسیر `/admin` محافظت می‌کند و نیاز دارد که کاربر نقش `admin` را داشته باشد.

مثال: مدیریت ارزهای مختلف در یک برنامه جهانی

اگر برنامه شما تراکنش‌های مالی را مدیریت می‌کند، ممکن است نیاز به پشتیبانی از چندین ارز داشته باشید. می‌توانید ارز ترجیحی کاربر را در پیلود JWT ذخیره کنید:


interface JwtPayload {
  userId: string;
  email: string;
  roles: string[];
  currency: string; // به عنوان مثال، 'USD', 'EUR', 'JPY'
  iat: number;
  exp: number;
}

سپس، در منطق بک‌اند خود، می‌توانید از `req.user.currency` برای قالب‌بندی قیمت‌ها و انجام تبدیل ارز در صورت نیاز استفاده کنید.

6. توکن‌های تازه‌سازی (Refresh Tokens)

JWTها به طور طراحی شده عمر کوتاهی دارند. برای جلوگیری از اینکه کاربران مجبور شوند به طور مکرر وارد شوند، از توکن‌های تازه‌سازی استفاده کنید. توکن تازه‌سازی یک توکن با عمر طولانی است که می‌توان از آن برای به دست آوردن یک توکن دسترسی جدید (JWT) بدون نیاز به وارد کردن مجدد اطلاعات کاربری استفاده کرد. توکن‌های تازه‌سازی را به صورت امن در یک پایگاه داده ذخیره کرده و آن‌ها را با کاربر مرتبط کنید. هنگامی که توکن دسترسی یک کاربر منقضی می‌شود، او می‌تواند از توکن تازه‌سازی برای درخواست یک توکن جدید استفاده کند. این فرآیند باید با دقت پیاده‌سازی شود تا از آسیب‌پذیری‌های امنیتی جلوگیری شود.

تکنیک‌های پیشرفته امنیت نوع

1. استفاده از Discriminated Unions برای کنترل دقیق‌تر

گاهی اوقات، ممکن است بر اساس نقش کاربر یا نوع درخواست به پیلودهای JWT متفاوتی نیاز داشته باشید. Discriminated unions می‌توانند به شما کمک کنند تا این کار را با امنیت نوع انجام دهید.


interface AdminJwtPayload {
  type: 'admin';
  userId: string;
  email: string;
  roles: string[];
  iat: number;
  exp: number;
}

interface UserJwtPayload {
  type: 'user';
  userId: string;
  email: string;
  iat: number;
  exp: number;
}

type JwtPayload = AdminJwtPayload | UserJwtPayload;

function processToken(payload: JwtPayload) {
  if (payload.type === 'admin') {
    console.log('ایمیل مدیر:', payload.email); // دسترسی به ایمیل امن است
  } else {
    // payload.email در اینجا قابل دسترسی نیست زیرا نوع آن 'user' است
    console.log('شناسه کاربر:', payload.userId);
  }
}

این مثال دو نوع پیلود JWT مختلف، `AdminJwtPayload` و `UserJwtPayload` را تعریف می‌کند و آنها را در یک discriminated union به نام `JwtPayload` ترکیب می‌کند. ویژگی `type` به عنوان یک تمایزدهنده عمل می‌کند و به شما امکان می‌دهد تا بر اساس نوع پیلود به طور امن به ویژگی‌ها دسترسی پیدا کنید.

2. استفاده از جنریک‌ها برای منطق احراز هویت قابل استفاده مجدد

اگر چندین طرح احراز هویت با ساختارهای پیلود متفاوت دارید، می‌توانید از جنریک‌ها برای ایجاد منطق احراز هویت قابل استفاده مجدد استفاده کنید.


interface BaseJwtPayload {
  userId: string;
  iat: number;
  exp: number;
}

function verifyToken(token: string): T | null {
  try {
    const decoded = jwt.verify(token, JWT_SECRET) as T;
    return decoded;
  } catch (error) {
    console.error('خطای تأیید JWT:', error);
    return null;
  }
}

const adminToken = verifyToken('admin-token');
if (adminToken) {
  console.log('ایمیل مدیر:', adminToken.email);
}

این مثال یک تابع `verifyToken` را تعریف می‌کند که یک نوع جنریک `T` را می‌گیرد که از `BaseJwtPayload` ارث‌بری می‌کند. این به شما امکان می‌دهد توکن‌ها با ساختارهای پیلود متفاوت را تأیید کنید در حالی که اطمینان حاصل می‌کنید که همه آنها حداقل دارای ویژگی‌های `userId`، `iat` و `exp` هستند.

ملاحظات برنامه‌های جهانی

هنگام ساخت سیستم‌های احراز هویت برای برنامه‌های جهانی، موارد زیر را در نظر بگیرید:

بومی‌سازی (Localization): اطمینان حاصل کنید که پیام‌های خطا و عناصر رابط کاربری برای زبان‌ها و مناطق مختلف بومی‌سازی شده‌اند.
مناطق زمانی: هنگام تنظیم زمان انقضای توکن و نمایش تاریخ و زمان به کاربران، مناطق زمانی را به درستی مدیریت کنید.
حریم خصوصی داده‌ها: با مقررات حریم خصوصی داده‌ها مانند GDPR و CCPA مطابقت داشته باشید. میزان داده‌های شخصی ذخیره شده در JWTها را به حداقل برسانید.
دسترس‌پذیری (Accessibility): جریان‌های احراز هویت خود را طوری طراحی کنید که برای کاربران دارای معلولیت قابل دسترس باشند.
حساسیت فرهنگی: هنگام طراحی رابط‌های کاربری و جریان‌های احراز هویت، به تفاوت‌های فرهنگی توجه داشته باشید.

نتیجه‌گیری

با بهره‌گیری از سیستم نوع تایپ‌اسکریپت، می‌توانید سیستم‌های احراز هویت JWT قوی و قابل نگهداری برای برنامه‌های جهانی بسازید. تعریف انواع پیلود با اینترفیس‌ها، ایجاد سرویس‌های JWT تایپ‌شده، محافظت از نقاط پایانی API با میان‌افزار و پیاده‌سازی RBAC گام‌های اساسی در تضمین امنیت و امنیت نوع هستند. با در نظر گرفتن ملاحظات برنامه‌های جهانی مانند بومی‌سازی، مناطق زمانی، حریم خصوصی داده‌ها، دسترس‌پذیری و حساسیت فرهنگی، می‌توانید تجربیات احراز هویتی ایجاد کنید که برای مخاطبان متنوع بین‌المللی فراگیر و کاربرپسند باشد. به یاد داشته باشید که هنگام کار با JWTها، همیشه بهترین شیوه‌های امنیتی را در اولویت قرار دهید، از جمله مدیریت امن کلید، انتخاب الگوریتم، انقضای توکن و ذخیره‌سازی توکن. از قدرت تایپ‌اسکریپت برای ساخت سیستم‌های احراز هویت امن، مقیاس‌پذیر و قابل اعتماد برای برنامه‌های جهانی خود استقبال کنید.