小明：最近我在研究医科大学的系统架构，发现他们需要一个统一的身份认证系统，你有什么建议吗？

小李：嗯，你说的是统一身份认证（SSO）吧？这在大型组织中很常见，尤其是像医科大学这种涉及多个部门和系统的机构。

小明：对，我听说现在主流的方案是OAuth2.0或者SAML，你觉得哪种更适合呢？

小李：其实要看他们的需求。如果他们希望集成第三方服务，比如Google、微信等，OAuth2.0是个不错的选择。另外，如果他们内部有多个子系统，使用JWT来实现单点登录（SSO）也很方便。

小明：那你能给我讲讲怎么用JWT来实现吗？我想看看具体的代码。

小李：当然可以。首先，我们得有一个认证服务，用户登录后，这个服务会生成一个JWT令牌，然后其他服务通过验证这个令牌来确认用户身份。

小明：听起来不错。那具体的代码是怎么写的呢？

小李：我们可以用Node.js来演示一下。首先，安装必要的依赖包，比如jsonwebtoken和express。

小明：好的，那代码怎么写呢？

小李：先是一个简单的登录接口，接收用户名和密码，然后生成JWT令牌。这里是一个示例：

// login.js
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

app.use(express.json());

const users = [
  { id: 1, username: 'admin', password: '123456' }
];

app.post('/login', (req, res) => {
  const { username, password } = req.body;
  const user = users.find(u => u.username === username && u.password === password);
  if (!user) {
    return res.status(401).json({ message: 'Invalid credentials' });
  }

  const token = jwt.sign({ userId: user.id }, 'your-secret-key', { expiresIn: '1h' });
  res.json({ token });
});

app.listen(3000, () => console.log('Server running on port 3000'));
    

小明：这样就生成了一个JWT令牌。那其他服务怎么验证这个令牌呢？

小李：其他服务需要在请求头中带上Authorization字段，格式是Bearer + 空格 + token。然后我们可以通过中间件来验证这个令牌。

小明：那具体怎么实现呢？

小李：下面是一个验证JWT的中间件代码：

// authMiddleware.js
const jwt = require('jsonwebtoken');

function authenticateToken(req, res, next) {
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];
  if (token == null) return res.sendStatus(401);

  jwt.verify(token, 'your-secret-key', (err, user) => {
    if (err) return res.sendStatus(403);
    req.user = user;
    next();
  });
}

module.exports = authenticateToken;
    

小明：明白了。那接下来，我应该怎么把这些整合到医科大学的系统里呢？

小李：你可以设计一个统一的身份认证服务，所有子系统都通过这个服务进行登录和权限验证。同时，还要考虑权限管理，比如RBAC（基于角色的访问控制）。

小明：RBAC是什么？

小李：RBAC是一种常见的权限管理模型，它根据用户的角色来分配不同的权限。例如，管理员可以访问所有资源，而普通教师只能访问自己的课程信息。

小明：那如何在代码中实现RBAC呢？

小李：我们可以结合JWT和数据库来实现。当用户登录时，除了生成JWT，还应该返回该用户的权限信息。然后在每个API接口中，检查用户的角色是否允许访问该资源。

小明：那具体怎么操作呢？

小李：假设我们有一个用户表，里面包含id、username、role等字段。登录时，我们从数据库中查询用户信息，然后把role也包含在JWT中。之后，在验证令牌后，检查用户的角色是否符合当前请求的权限要求。

小明：听起来挺合理的。那我可以写一个例子吗？

小李：当然可以。下面是一个简单的例子，展示如何在JWT中加入角色信息：

// login.js
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

app.use(express.json());

const users = [
  { id: 1, username: 'admin', password: '123456', role: 'admin' },
  { id: 2, username: 'teacher', password: '123456', role: 'teacher' }
];

app.post('/login', (req, res) => {
  const { username, password } = req.body;
  const user = users.find(u => u.username === username && u.password === password);
  if (!user) {
    return res.status(401).json({ message: 'Invalid credentials' });
  }

  const token = jwt.sign({ userId: user.id, role: user.role }, 'your-secret-key', { expiresIn: '1h' });
  res.json({ token });
});

app.listen(3000, () => console.log('Server running on port 3000'));
    

小明：这样就可以在JWT中携带角色信息了。那在其他服务中，如何根据角色判断权限呢？

小李：我们可以在中间件中检查用户的角色。例如，如果某个接口只允许管理员访问，那么在中间件中判断用户的角色是否为admin，如果不是，就返回403错误。

小明：那具体怎么写呢？

小李：下面是一个简单的中间件示例，用于检查用户是否是管理员：

// adminMiddleware.js
const jwt = require('jsonwebtoken');

function checkAdmin(req, res, next) {
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];
  if (token == null) return res.sendStatus(401);

  jwt.verify(token, 'your-secret-key', (err, user) => {
    if (err) return res.sendStatus(403);
    if (user.role !== 'admin') return res.sendStatus(403);
    next();
  });
}

module.exports = checkAdmin;
    

小明：明白了。那如果我要扩展更多的权限，比如查看学生信息、编辑课程等，该怎么处理呢？

小李：这时候可以引入更细粒度的权限控制，比如基于权限的访问控制（ABAC）。但为了简化，RBAC已经能满足大部分需求了。

小明：那统一身份认证在医科大学系统中的实际应用场景有哪些呢？

小李：比如，学生管理系统、教务系统、科研平台、图书馆系统等，都可以通过统一身份认证实现单点登录，避免重复登录，提升用户体验。

小明：那有没有什么需要注意的地方呢？

小李：首先是安全性，要确保JWT的签名密钥不能泄露。其次，要定期更新密钥，防止令牌被破解。此外，还要注意令牌的有效期，避免长期有效的令牌带来安全隐患。

小明：明白了。看来统一身份认证在医科大学这样的系统中确实很有必要。

小李：没错。它不仅提升了系统的安全性，也提高了用户体验，减少了重复登录的麻烦。

小明：谢谢你，这些内容对我帮助很大。

小李：不客气，如果你还有其他问题，随时问我。