node-token生成(jsonwebtoken)和过期验证(express-jwt)采坑记录

最新推荐文章于 2024-04-19 11:23:05 发布
最新推荐文章于 2024-04-19 11:23:05 发布
阅读量4k 收藏 27
点赞数 8
文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GreyCastle/article/details/120442437
版权

前言:

在做服务时token验证是必不可少的一环。今天搞node验证可谓是一波三折。

先说踩得坑吧:

在使用express-jwt插件验证token是否过期时,一直验证不通过,报401。

服务端会提示:

原因:就是前端要在token前面加上Bearer和空格。如图:

为什么要加上Bearer和空格呢?

请看express-jwt源码里是如何获取token的

//1 从options中获取token  这个忽略  因为 在设置 需要保护的API 时 并没有传递 getToken 这个方法
 if (options.getToken && typeof options.getToken === 'function') {
      try {
        token = options.getToken(req);
      } catch (e) {
        return next(e);
      }
      //2 从authorization中获取token
    } else if (req.headers && req.headers.authorization) {
      // --这是关键代码-----开始切割--------->
      var parts = req.headers.authorization.split(' '); 
      if (parts.length == 2) {
        var scheme = parts[0];
        var credentials = parts[1];

        if (/^Bearer$/i.test(scheme)) {
          token = credentials; // <-------最终获取到token---------          
        } else {
          if (credentialsRequired) {
            return next(new UnauthorizedError('credentials_bad_scheme', { message: 'Format is Authorization: Bearer [token]' }));
          } else {
            return next();
          }
        }
        //3 以上两个途径都没有token时 就报错呗
      } else {
        return next(new UnauthorizedError('credentials_bad_format', { message: 'Format is Authorization: Bearer [token]' }));
      }
    }

接下来看下两个插件(时间有限我只简单的说)详细了解看下面。

jsonwebtoken:JSON Web Token 入门教程 - 阮一峰的网络日志

express-jwt:express-jwt - npm

一:jsonwebtoken

jsonwebtoken是我们用于生成token和验证客户端和服务端的token是否一致的。

使用方式:

①安装:

npm install jsonwebtoken

②导入

const jwt = require('jsonwebtoken')
const scret = 'knowledge';  //自定义秘钥  自定义
let setToken =  function(str1,str2){
    let user = str1;   //登录账号和密码作为了规则
    let paswd = str2;
    const rule = {
        username: user,
        pwd: paswd
    }
    //expiresIn:过期时间
    let ztoken =  jwt.sign(rule, scret, { expiresIn: 60*60*24 }) 
    return ztoken
}
module.exports.setToken =  setToken

③路由中使用

const express =require('express')
const userCollection = require('../model/userInfo_model.js')
const userInfoRouter = express.Router();
//自己写的工具方法,只是处理返回结果的,无关紧要
const responseUntil = require('../until/response_until.js')
const {setToken} = require('../until/jwt_token.js')

userInfoRouter.post('/login', (req,res,next)=>{
    let params={
        name:req.body.name,
        password:req.body.password
    }
    //token返回给客户端
    userCollection.findOne(params).then(result=>{
        let resObj={
            token:setToken(req.body.name,req.body.password),
            result
        }
       res.send(responseUntil(resObj))
    })
   
})

module.exports=userInfoRouter

④截图:

 这样一个token就ok了,客户端请求也可以拿到了。

二:接下来就开始第二步。token验证:

①:使用中间件对请求进行拦截获取请求头的token

验证的方法:

const jwt = require('jsonwebtoken')
const scret = 'knowledge';  //自定义秘钥  自定义,没要求
//async  await  解决异步请求获取不到问题
let verifyToken = async function(token){
    await jwt.verify(token, scret, function (err, data) {
        if (err) return false
        else return true
       
    })
}

module.exports.verifyToken = verifyToken

导入:

const {verifyToken} = require('./until/jwt_token.js')

 app.use((req,res,next)=>{
        //获取header中的token,并验证
        if(req.headers.authorization){
            const flag=verifyToken(req.headers.authorization)
            //验证失败
            if(!flag){
                res.send({status:'fail'})
            }
        }
        //验证成功继续
        next()
        
    })

三:验证token的是否过期

①:安装express-jwt

npm install express-jwt

②:使用

const expressJWT = require('express-jwt');//验证token是否失效

app.use(expressJWT({
        secret: 'knowledge',//秘钥和生成token的保持一致
        algorithms: ['HS256'] //签名算法(6.0以上版本必须加,否则报错)
    }).unless({
        path: ['/user/login']//登录接口不验证
    }))
    //捕获错误的全局中间件
    app.use(function (err, req, res, next) {
        //token过期
        if (err.status == 401) {   
            res.status(401).send({status:'fail'});
            return
        }
        if(err){
            res.status(500).send({status:'fail'});
        }

    });

结尾:

到此就完毕了,这么重要的步骤网上很少有答案的。也许和node做服务用的比较少吧。哈哈。

小灰灰城堡
关注
  • 8
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
学习笔记——express框架token鉴权问题
qq_41339126的博客
04-02 2038
本文,express框架使用jsonwebtoken鉴权。 一. jsonwebtoken使用 npm i jsonwebtoken const jwt = require('jsonwebtoken') const singKey = 'mes_qdhd_mobile_xhykjyxgs' // 这里可以自己设置 exports.setToken = (username) => { return new Promise((resolve, reject) => { ..
js-express-bearer-token:Express承载令牌中间件
05-11
快递承办人代币 Express的承载令牌中间件。 什么? 根据此模块将尝试从以下位置的请求中提取承载令牌: 请求正文中的键access_token 。 请求参数中的键access_token 。 标题Authorization: Bearer <token> 。 (可选)使用键access_token从cookie标头获取令牌。 如果找到令牌,它将被存储在req.token 。 如果在多个位置提供了一个,这将通过发送代码400(根据 )立即中止请求。 const express = require ( 'express' ) ; const bearerToken = require ( 'express-bearer-token' ) ; const app = express ( ) ; app . use ( bearerToken ( ) ) ; app . use
express token 设置 Format is Authorization: Bearer [token]
qq_31850625的博客
08-01 1994
最后是axios请求头的设置问题。
Format is Authorization: Bearer [token]
最新发布
weixin_52741665的博客
04-19 189
如代码报错所示,token格式错误,应该在token前面加上 'Bearer '。注意引号里面有空格。
jsonwebtoken 使用教程
nullccc的博客
02-19 2673
本系列是我的常用 koa 中间件使用笔记,防止忘记使用方法而作记录 基本使用 const jwt = require('jsonwebtoken'); const secretKey = '&*^R*G&(FRDwp4eg3' //secret const expiresIn = 60 * 60 * 24 * 30; //时效 (秒) //生成jwt function generateToken(uid) { const token = jwt.sign..
JsonWebToken(jwt)用法及其优势
u010227042的博客
07-08 908
jsonwebtoken 具体的实践可以看我github上的例子。 用法 jwt.sign(payload, secretOrPrivateKey, [options, callback]) (异步)如果提供回调,则使用err或JWT 调用回调。 (同步)将JsonWebToken返回为字符串。 payload必须是一个object, buffer或者string。请注意, exp只有当payload是object字面量时才可以设置。 secretOrPrivateKey 是包含HMAC算法的密
node-jwt:使用jsonwebtokennode js的JWT实现
05-16
"node-jwt:使用jsonwebtokennode js的JWT实现" 指的是一个关于使用Node.jsjsonwebtoken库来实现JSON Web Token (JWT)的教程或项目。JWT是一种安全的身份验证机制,用于在分布式系统中无状态地传递用户信息。 **...
node-auth-api:使用ExpressJWT构建的基本身份验证API
05-08
使用ExpressJWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
rest-api-nodejs-jwt-express-mysql:这是一个使用NodeJS,Express,MySQL并使用JSON-web-token作为身份验证的国家的小型REST Api
05-27
6. **jsonwebtoken**: jsonwebtokenNode.js环境中处理JWT的库,提供JWT生成验证和解码功能。在这个项目中,它被用来创建和验证JWT。 7. **Babel**: Babel是一个JavaScript编译器,能够将ES6+的新特性转换为...
express-mongo-jwt-boilerplate:Express Mongo JsonWebToken样板
02-03
Express Mongo JWT样板 安装 安装NodeJS,MongoDB 安装npm或yarn 将.env.example重命名为.env 履行.env数据 启动MongoDB 运行yarn run dev或npm run dev 检查http://localhost:3000/api/status以查看它是否有效...
快速入门:使用Express-JWTJSON Web Token保护你的Node.js应用
01-30
在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwtjsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。
jsonwebtoken的基本使用
weixin_45578480的博客
03-07 3308
详情参考官方文档 jsonwebtoken 相关方法的封装 const jwt = require("jsonwebtoken") const secret = "kjafhkjsal"; let createToken = (data,expiresIn)=>{//创建token的方法 let obj = {}; obj.data = data || {};//存入tok...
微信小程序401 unauthorized 授权问题解决方法
Qianmoer的博客
07-01 2321
在请求接口的时候加入 header,然后把token 赋值给Authorization。在做微信小程序项目的时候,在请求接口的时候经常出现unauthorized这个问题。所以是写header的时候格式写错了(可能是由于接口用node.js写的原因)。随后百度翻译了一下,错误的授权头格式。这是由于在请求接口的时候,没有定义header。随后把header改成了这样的。然后就可以请求接口成功了。然而这样还是继续报错。
Nodejs项目中使用token验证,jwt,jsonwebtoken
知无涯
11-09 1万+
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析. 抽空研究了一下nodejs的jwt如何做,下面来记录一下 使用的包是 "jsonwebtoken": "^8.3.0" 包的github地址 主要用到的方法是 生成token jwt.sign() 验证token jwt.verify() ...
JWTJSON Web Token)自动延长到期时间
asdfgh0077的博客
05-07 1万+
I would like to implement JWT-based authentication to our new REST API. 我想对我们的新REST API实现基于JWT的身份验证
Express中的JWT使用
weixin_47295886的博客
09-14 4485
安装jwt相关的包两个:jsonwebtoken \ express-jwt 定义secret密钥 如何在登录成功后生成JWT字符串——生成TokenJWT字符串还原成为JSON对象——解析Token 使用req.user(req.auth)获取用户信息——有权限的接口 捕获解析JWT(即解析token)失败后产生的错误——错误中间件在最后 进行捕获错误
Node.js身份验证实践:Express-JWTJSON Web Token的用法
m0_64642443的博客
01-31 3185
JSON Web TokenJWT)在应用程序中充当了身份验证和授权的关键工具。它通过在生成的令牌中携带用户信息,实现了无状态的身份验证,避免了传输敏感信息,同时提高了应用的安全性。主要用于验证从客户端发送的包含 JWT 的请求头。它帮助我们确认用户的身份是否有效,并在认证成功后将用户信息附加到请求对象上,方便后续处理。我们学习了如何使用库生成 JWT,并将其发送给客户端。客户端在后续请求中携带 Token,而服务器通过验证 Token 的合法性,实现了用户的无缝身份认证。除了认证外,
JSON Web Token
贝克街的流浪猫
04-04 215
引言 本文由我的同事 @like 投稿,介绍了 JWTJSON Web Token)是什么,以及它的一些应用场景。 背景 前段时间看 Kubernetes 认证相关的内容,发现如果 Pod 要和 API Server 交互,需要为该 Pod 创建 ServiceAccount 并绑定相应的角色。比如 Dashboard 的配置文件如下: # ------------------- Dashboard Service Account ------------------- # apiVersion: v
Authorization 值中Bearer空格加token值在python接口请求中如何实现
热门推荐
liubo37的博客
11-28 1万+
在项目中每个接口请求都需要Authorization 值,而Authorization他的值必须 Bearer 加token值,刚开始自己忘记添加Bearer 接口请求一直拒绝访问,后来用fiddler抓取代码请求和postman请求对比发现自己的Authorization 值缺少了Bearer 然后就加上了,直接使用了这种方法: headers = {'Content-Type': 'ap...
请使用node.jsexpress-jwt写一份完整token处理以及中间件
03-31
以下是一个使用Node.jsexpress-jwt的完整Token处理和中间件的示例: 1. 安装必要的依赖 ``` npm install express express-jwt jsonwebtoken ``` 2. 创建一个JWT密钥 ``` const jwtSecret = 'mysecretkey'; ``` 3. 创建一个函数来生成令牌 ``` const jwt = require('jsonwebtoken'); function generateToken(user) { const payload = { sub: user.id, iat: Date.now() }; const options = { expiresIn: '1d' }; return jwt.sign(payload, jwtSecret, options); } ``` 4. 创建一个路由来登录并生成令牌 ``` const express = require('express'); const router = express.Router(); const User = require('../models/user'); router.post('/login', (req, res) => { const { email, password } = req.body; User.findOne({ email: email }, (err, user) => { if (err) { return res.status(500).json({ error: err }); } if (!user) { return res.status(401).json({ error: 'User not found' }); } if (!user.validPassword(password)) { return res.status(401).json({ error: 'Invalid password' }); } const token = generateToken(user); res.json({ token }); }); }); module.exports = router; ``` 5. 创建一个中间件来验证令牌 ``` const jwt = require('express-jwt'); function getTokenFromHeader(req) { if (req.headers.authorization && req.headers.authorization.split(' ')[0] === 'Bearer') { return req.headers.authorization.split(' ')[1]; } return null; } const auth = { required: jwt({ secret: jwtSecret, userProperty: 'payload', getToken: getTokenFromHeader }), optional: jwt({ secret: jwtSecret, userProperty: 'payload', getToken: getTokenFromHeader, credentialsRequired: false }) }; module.exports = auth; ``` 6. 使用验证令牌的中间件保护路由 ``` const express = require('express'); const router = express.Router(); const auth = require('../middleware/auth'); router.get('/protected', auth.required, (req, res) => { res.json({ message: 'You are authorized to access this protected route' }); }); router.get('/optional', auth.optional, (req, res) => { res.json({ message: 'This route can be accessed without a token' }); }); module.exports = router; ``` 现在,你可以使用这些路由来生成令牌、保护受保护的路由并允许可选的路由。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值