在Nodejs中使用JWT进行鉴权

已于 2023-09-17 18:16:35 修改
阅读量608 收藏 1
点赞数
文章标签: JavaScript node.js 前端 鉴权
于 2023-08-30 12:51:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AC_greener/article/details/132580212
版权

什么是 JSON Web Token(JWT)?

JSON Web Token(JWT)是一种用于在web上传递信息的标准,它以JSON格式表示信息,通常用于身份验证和授权。

JWT由三个部分组成:Header(头部)、Payload(负载)和Signature(签名)。它们用点号分隔开,形成了一个JWT令牌。

JWT 的基本结构

  • Header

Header(头部)是JWT结构的第一部分,它是一个包含关于令牌的元数据的JSON对象。Header通常包含两个主要字段:algtyp

alg(Algorithm)字段:这个字段指定了用于签名JWT的加密算法。它可以是以下之一:

  • HS256:HMAC-SHA256,使用密钥进行对称加密。
  • RS256:RSA-SHA256,使用RSA密钥对进行非对称加密。
  • ES256:ECDSA-SHA256,使用椭圆曲线数字签名算法进行非对称加密,等等。

typ(Type)字段:这个字段表示令牌的类型。对于JWT,这个字段的值通常是**JWT**,用于指示这是一个JSON Web Token。

一个简单的 JWT 头可以是下面这样:

{
    "typ":"JWT",
    "alg":"HS256"
 }
  • Payload

Payload(负载)用于存储实际的用户数据和其他相关信息。Payload是一个包含键值对的JSON对象,它包含了有关JWT令牌的有用信息。

JWT 规定了7个官方字段:

- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题
- aud (audience):受众
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,一个Payload如下所示:

 {
  "userId":"123",
  "iss": "your_app",
  "sub": "user123",
  "role": "admin",
  "exp": 1699999999
 }
  • Signature

JWT的Signature(签名)是JWT令牌的第三个部分,用于确保令牌的完整性和来源验证。Signature是通过将Header和Payload的组合(不包括分隔符**.**)与一个密钥进行加密或哈希生成的值。

Signature生成方式:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

一个JWT示例

Header:
{
  "alg" : "HS256",

  "typ" : "JWT"
}

Payload:
{
  "id" : 123,

  "name" : "test"
}

Secret: your_secret

Header(经过Base64编码):

eyJhbGciOiAiSFMyNTYiLCAidHlwIjogIkpXVCJ9

Payload(经过Base64编码):

eyJpZCI6IDEyMywgIm5hbWUiOiAidGVzdCJ9

使用提供的Secret对原始的Header和原始的Payload进行加密生成Signature:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  "your_secret"
)

完整的的token需要吧这三部分拼起来如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTIzLCJuYW1lIjoidGVzdCJ9.oMyOEgY
iZosc0HYCkIjrqh_DH3CLlmIkIjOe-icpTg8

在Nodejs中使用JWT

1,环境配置

我们先来配置一下环境,首先初始化一个package.json文件存放我们用到的npm包:

npm init -y

然后安装jsonwebtoken和express:
npm install express jsonwebtoken

2,创建一个基础的服务器

const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

app.use(express.json());

const PORT = 3000;
app.listen(PORT, () => {
    console.log(`Server is running on ${PORT} ...`);
});

这里我们使用了**express.json**这个中间件,express.json() 是一个 Express 中间件函数,用于解析传入请求体中的 JSON 数据。当客户端向服务器发送带有 JSON 数据的 POST 请求时,express.json() 中间件将从请求体中解析出 JSON 数据,并将其添加到到 req.body 上。

3,在登录之后下发token

// 用户数据
const users = [
    { id: 1, username: "user1", password: "password1" },
    { id: 2, username: "user2", password: "password2" }
];
const jwtSecretKey = "your_jwt_secret_key";

// 登录之后生成 JWT token
app.post("/user/login", async (req, res) => {
    try {
        const { username, password } = req.body;
        const user = users.find(u => u.username === username && u.password === password);

        if (!user) {
            return res.status(401).json({ error: "用户名或密码错误" });
        }

        const payload = {
            userId: user.id,
        };
        //生成token 设置过期时间为 1 小时
        const token = await jwt.sign(payload, jwtSecretKey, { expiresIn: '1h' });
        res.json({ token });
    } catch (error) {
        res.status(500).json({ error: "登录失败" });
    }
});

为了演示,我们的用户数据是写死的

/user/login路由会在用户名和密码通过校验之后,使用jwt.sign生成一个token,并且设置过期时间为一个小时

jwt.sign 函数用于创建一个 JWT 令牌,它接受一个payload,并使用给定的密钥将其签名生成一个令牌字符串。

以下是 jwt.sign 的基本用法以及其参数:

jwt.sign(payload, secretOrPrivateKey, [options, callback])
  • payload:要存储在token中的数据,通常是一个 JavaScript 对象,可以包含任意信息。
  • secretOrPrivateKey:用于对令牌进行签名的密钥。
  • options(可选):一个包含选项的对象,用于配置生成的 JWT。常见的选项包括 expiresIn(过期时间)和 algorithm(签名算法)等。
  • callback(可选):一个回调函数,用于异步生成 JWT。

然后使用curl请求该路由,响应内容如下:
在这里插入图片描述

4,创建isLogin中间件

async function isLogin(req, res, next) {
    const tokenHeaderKey = 'Authorization';
    const token = req.header(tokenHeaderKey)

    if (!token) {
        return res.status(401).json({ error: "用户未登录" });
    }

    const verified = await jwt.verify(token, jwtSecretKey);
    if (verified) {
        next()
    } else {
        return res.status(401).json({ error: "无效的token" });
    }
}

isLogin 是一个用于验证用户是否已登录的中间件。它首先从请求头中获取 Authorization 字段的值,该值应该是 JWT 令牌。然后使用 jwt.verify 函数验证令牌的有效性。如果验证通过,将调用 next(),表示用户已登录,然后继续执行后续的路由处理程序。如果验证失败,返回 401 状态码,表示令牌无效。

5,创建需要身份验证的路由

// 获取用户信息
app.get("/user/:username", isLogin, async (req, res) => {
    const username = req.params.username;
    const user = users.find(u => u.username === username).map(u => ({ id: u.id, username: u.username}));
    res.json(user);
});

**/user/:username**是一个用于获取用户信息的路由。路由中的 :username 表示参数,表示用户的用户名。

我们在这个路由中添加了两个中间件,首先通过 isLogin 中间件验证用户是否已登录。如果用户已登录,才会进入到下一个中间件,然后根据用户名从 users 数组中查找用户信息并作为响应。

然后使用curl请求该路由,就能拿到用户信息:

在这里插入图片描述

6,使用axios携带token请求用户信息

import axios from "axios";
const token = localStorage.getItem("token");
const url = "http://localhost:3000/user/your_username"
const headers = {
    "Authorization": token,
    "Content-Type": "application/json",
    "Accept": "application/json",
};
const getUserInfo = () => {
    axios.get(url, { headers: headers })
        .then((response) => {
            console.log(response);
        })
        .catch((error) => {
            console.log(error);
        });
}

在前端我们一般会使用axios来发起请求,只要把token的值放在http header中的Authorization字段即可。当然除了放在Authorization之外,也可以放在其他header字段中,不过后端也需要从对应的header字段取token。

完整代码:

const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

app.use(express.json());

const PORT = 3000;
app.listen(PORT, () => {
    console.log(`Server is up and running on ${PORT} ...`);
});

// 用户数据
const users = [
    { id: 1, username: "user1", password: "password1" },
    { id: 2, username: "user2", password: "password2" }
];
const jwtSecretKey = "your_jwt_secret_key";

// 登录之后生成 JWT token
app.post("/user/login", async (req, res) => {
    try {
        const { username, password } = req.body;
        
        const user = users.find(u => u.username === username && u.password === password);

        if (!user) {
            return res.status(401).json({ error: "用户名或密码错误" });
        }

        const payload = {
            userId: user.id,
        };
        //生成token 设置过期时间为 1 小时
        const token = await jwt.sign(payload, jwtSecretKey, { expiresIn: '1h' });
        res.json({ token });
    } catch (error) {
        res.status(500).json({ error: "登录失败" });
    }
});

async function isLogin(req, res, next) {
    const tokenHeaderKey = 'Authorization';
    const token = req.header(tokenHeaderKey)

    if (!token) {
        return res.status(401).json({ error: "用户未登录" });
    }

    const verified = await jwt.verify(token, jwtSecretKey);
    if (verified) {
        next()
    } else {
        return res.status(401).json({ error: "无效的token" });
    }
}
// 获取用户信息
app.get("/user/:username", isLogin, async (req, res) => {
    const username = req.params.username;
    const user = users.map(u => ({ id: u.id, username: u.username})).find(u => u.username === username)
    res.json(user);
});

总结

这篇文章我们介绍了JWT原理以及在nodejs中使用JWT 进行鉴权,除了JWT之外还可以使用session管理用户状态,感兴趣的可以👇这里:https://blog.csdn.net/AC_greener/article/details/130036699

参考文章:

https://github.com/auth0/node-jsonwebtoken

https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
在这里插入图片描述

程序员通通
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node.js Koa2使用JWT进行鉴权的方法示例
01-20
前言 在前后端分离的开发,通过 Restful API 进行数据交互时,如果没有对 API 进行保护,那么别人就可以很容易地获取并调用这些 API 进行操作。那么服务器端要如何进行鉴权呢? Json Web Token 简称为 JWT,它定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。 说得好像跟真的一样,那么到底要怎么进行认证呢? 首先用户登录时,输入用户名和密码后请求服务器登录接口,服务器验证用户名密码正确后,生成token并返回给前端前端存储token,并在后面的请求
NodejsJWT和Session的使用
10-18
主要介绍了NodejsJWT和Session的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
node.js(第七章)登录鉴权的方式一Cookie&Session
微光无限的博客
08-03 487
node.js(第七章)登录鉴权的方式一Cookie&Session
Node.js从基础到高级运用】十二、身份验证与授权:JWT
Vip_wk的博客
03-14 1009
本文介绍了如何在Node.js应用实现用户身份验证和授权,特别是通过使用Node.js、Express和MongoDB实现JWT基于的身份验证和授权的全面指导,包括注册、登录和访问受保护资源的流程。这为构建安全的Web应用程序奠定了坚实的基础。
登录鉴权——node(express框架)
mantou_riji的博客
07-09 1297
当用户想要访问主界面是,必须要判断用户是否登录,如果用户已经登陆就返回主界面,如果用户未登录就返回登录界面。不能说无论用户是否登录都可以通过修改请求路径直接跳转到主页面,这显然是错误的。解决该问题就是需要登录鉴权。验证用户的身份我们一般有两种方式,一种是采用cookie和Session ,另一种是采用JWT(token)方法。登陆页面,主页面,用户登陆后可以跳转到主页面,现在还没有进行登录鉴权,所以用户直接访问请求地址也可以跳转到主页面。项目是通过express生成的框架. 项目目录: controll
Node.js 应用:Koa2 使用 JWT 进行鉴权
weixin_30745553的博客
08-17 812
前言 在前后端分离的开发,通过 Restful API 进行数据交互时,如果没有对 API 进行保护,那么别人就可以很容易地获取并调用这些 API 进行操作。那么服务器端要如何进行鉴权呢? Json Web Token 简称为 JWT,它定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。 ...
nodejs使用JWT(全)
weixin_68658847的博客
01-12 4595
nodejs使JWT(全)
NodeJS使用JWT
没有途径,只有努力
08-08 1850
# JWT(jsonwebtoken) > 目前最流行的跨域身份验证解决方案 ## 在nodejs使用 ### 安装 ` npm install jsonwebtoken --save` ### 使用 - 1.在路由引入 ```cpp var jwt = require('jsonwebtoken'); ``` - 2.定义一个密钥 ```cpp const secret = 'nidemiyao'//用于加密 ``` - 3.定义生成token的函数 ```cpp //生成token
nodejs使用JWT
黎小小的博客
03-10 460
【代码】nodejs使用JWT
nodeJs-身份认证(JWT)
软工二班秦同学的博客
04-01 486
2、权限操作:在登录成功的前体下,不同的角色有不同的权限身份认证实现的方式:1、后端采用session 前端采用cookie2、后端采用jwt 前端采用本地存储token:临时身份认证令牌 登录成功后,后端或返回一个字符串给前端【这个字符串就称为token】,以后每次前端访问后端资源的时候就将这个令牌带着,后端就根据是否有这个令牌来判断是否进行了登录操作。
nodeJSJWT身份认证使用方法与意义
qq_64970126的博客
10-04 1488
jwt认证机制的工作原理 使用jsonwebtoken第三方包进行解析生成jwt字符串,使用express-jwt导入客户端发送过来的jwt字符串,解析还原成json对象的包
node-jwt:使用jsonwebtoken和node js的JWT实现
05-16
节点-jwt 使用Node js的JWT实现
nodejs-jwt-authentication-sample:一个支持通过JWT进行用户名和密码身份验证的NodeJS API
04-13
NodeJS JWT身份验证样本 这是一个NodeJS API,它支持通过JWT进行用户名和密码身份验证,并具有返回Chuck Norris短语的API。 那有多棒? 可用的API 用户API POST /users 您可以对/users进行POST以创建新用户。 身体必须具有: username :用户名 password :密码 extra :您要从用户保存的一些额外信息(这是一个字符串)。 这可以是颜色,也可以是任何颜色。 它返回以下内容: { " id_token " : { jwt }, " access_token " : { jwt } } 使用位于config.json文件的密钥对id_token和access_token进行签名。 id_token将包含username和发送的extra信息,而access_token将包含audience , jt
nodejs-auth-jwt:使用JWT进行节点身份验证
05-16
nodejs Express JWT 使用JWT登录应用程序示例 运行项目: $ npm init $ npm install $ sudo npm install -g nodemon $ nodemon API路线: get: /api post: /api/posts post: /api/login post: /api/posts Header:...
jwt_auth:使用JWTNodeJs应用程序进行身份验证
04-29
使用JWTNodeJs应用程序进行身份验证
npm详解:Node.js的包管理器
读心悦
04-24 559
来安装软件包:这两个命令可以将软件包添加到package.json文件的dependencies或devDependencies,分别表示生产环境的依赖和开发环境的依赖。可以使用npm update命令来更新所有依赖的软件包,或者通过修改package.json文件的版本号来更新特定的依赖关系。使用package.json文件来管理依赖关系:在项目,应该使用package.json文件来记录和管理所有依赖的软件包。例如,您可以使用npm list命令来查看已安装的软件包及其依赖关系,使用
Node.js前端的妙用:打造更出色的Web体验
weixin_47238919的博客
04-23 828
Node.js的出现为前端开发者带来了无限的可能性和创新空间。通过结合Node.js与现有的前端技术,我们可以构建更加强大、高效和可靠的Web应用,为用户带来更优秀的上网体验。让我们一起拥抱Node.js,探索更多前端开发的新奇之处吧!
前端工程化Vue使用Node.js设置国内高速npm镜像源(踩坑记录版)
会撸代码的懒羊羊
04-27 1177
此篇仅为踩坑记录,并未成功更换高速镜像源,实际解决方法见文末跳转链接。
界面组件DevExpress文教程 - 如何在Node.js应用创建报表?
最新发布
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
04-30 954
本文将为大家介绍如何通过.NET和WebAssembly集成如何在Node.js应用程序创建报表,欢迎下载相关组件体验!
如何在nodejs使用cesium
05-24
Node.js 使用 Cesium 可以通过以下步骤实现: 1. 安装 Node.js 和 npm。 2. 创建一个新的 Node.js 项目,并使用 npm 安装 Cesium: ``` npm install cesium ``` 3. 在项目引入 Cesium: ```javascript ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值