express使用JWT和httpOnly cookie进行安全验证

最新推荐文章于 2024-05-24 23:20:46 发布
最新推荐文章于 2024-05-24 23:20:46 发布
阅读量830 收藏 6
点赞数
分类专栏: 前端 node.js express 文章标签: 前端 node.js cookie jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lu_xiuyuan/article/details/114274488
版权
前端 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
express
3 篇文章 0 订阅
订阅专栏
node.js
2 篇文章 0 订阅
订阅专栏

express使用JWT和httpOnly cookie进行身份验证

对大创项目中使用JWT作为身份验证的总结。
一般情况使用JWT作为身份验证的方式可以直接参考这篇文章:Node.js 使用 express-jwt 解析 JWT 。这里主要针对httpOnly类型的cookie进行代码调整。

1. 安装和引入

需要使用的模块:express-jwt ,用于解析token; jsonwebtoken ,用于生成token ; cookie-parser,用于解析cookie(据说express已经内置,但是为可能没有该模块导致避免取不到cookie,安装该模块)。

npm i express-jwt jsonwebtoken cookie-parser --save

引入:

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');
const cookieParser = require('cookie-parser');

const app = express();

2. 生成token,放入cookie,验证token

封装一个生成token的方法:

//设置一个私钥
const scrict = 'examplev8w9egf';

function createToken = palyload =>{
    //给palyload添加一个生成时间戳的属性
    palyload.curtime = Date.now();
    //这里添加Bearer是因为express-jwt模块默认获取到token的方法
    //当然这里也没必要添加,因为后续我们不会使用默认的解析方式
    const token = 'Bearer ' + jwt.sign(
        palyload,
        scrict, { 
            expiresIn: 3600 * 24 * 3   //过期时间
        })
    return token;
}

在需要的位置生成和发送token到cookie:

如果不知道express中怎么使用cookie,可以参考:Express Cookie的使用

app.use('/',(req,res)=>{
    let token = createToken({login:true,name:user})   //这里的palyload参数可以自行设定
    //将token存入cookie,设置最大失效时间和httpOnly
    res.cookie('token',token,{ maxAge:1000*3600*24, path:'/', httpOnly:true });
    //响应客户端
    res.send({msg:'cookie设置成功'});
}

客户端携带cookie请求:

//这里使用JQ封装的ajax。默认是会自动携带cookie的,无需单独设置:
$.ajax({
    //一般情况携带token的方式。但这里设置的是httpOnly类型,使用js是无法获取的,交给服务端处理
/*     headers:{
        Accept: "application/json; charset=utf-8",
        Authorization:token
    }, */
    url: '/',
    type: 'put',
    contentType: "application/json",  
    success: function (data) {
        return;
    },
    error: function (err) {
        console.log(err);
    },
    //这里加一个服务器端校验token失败返回401状态码的操作,跳转回登录界面
    statusCode:{
        401:function () {
           //token验证失败 异常处理
           alert('token验证失败!');
        }
    }
})

服务器端解析cookie中的token:

//cookie-parser挂载                                                                         
home.use(cookieParser());

//express-jwt挂载,验证token
home.use(expressJwt({
    secret:scrict,    //封装生成token方法时候设置的私钥
    algorithms: ['HS256'],   //解码方式建议加上,否则可能会报错
    
    /*重要的是这里,需要改变express-jwt默认取得token的方式
      默认模块会从请求头的authorization中取得token,token以'Bearer'开头 */
    getToken:function fromCookie(req){
        //尝试从cookie读取token进行验证
          if(req.cookies.token)
            return req.cookies.token.split(' ')[1];
        return null;  
    } 
    
}).unless({
    path:['/login','logout']  //白名单,该地址下的不会进行解析
}))
//token校验错误处理中间件
home.use(function (err, req, res, next) {
    if (err.name === 'UnauthorizedError') {	
      console.log(err);
      res.status(401).send('invalid token...');   //根据具体情况设置
    }
})

//通过解析后的处理
app.use('/user',(req,res)=>{
    res.send({err:0,msg:'token通过解析验证'})
})
Lu_xiuyuan
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JWT使用指南
哇哦~
05-12 927
什么是jwt以及工作流程? 可以看下面的链接 http://blog.leapoahead.com/2015/09/06/understanding-jwt/ JWT是否要设置过期? 如果不设置过期的话,jwt一旦被中间人获取,就可以永远使用,服务端是无法分辨出来的,因为jwt的无状态特性。 所以过期时间是要设置的,而且短些比较好。 token过期了,理论上要跳到登录页面重新登录,重新换取token的。比如我们设置1小时过期,用户每过1小时就需要重新输入密码,是不是感觉很奇怪呢?讨论怎么处理之前
express中设置cookiehttpOnly属性防御xss攻击
shidaping的博客
05-16 6019
大部分是xss攻击(跨站脚本攻攻击),都是尝试在客户的浏览器中注入脚本,然后获取cookie发送到黑客指定的地址。因为服务端的session都是通过一个记录seesionId的cookie来识别的。黑客拿到了cookie, 自然就能够伪造身份,进而获取到权限。cookiehttpOnly属性意味着,浏览器中不能通过document.cookie访问到这个cookie,从而达到防御xss攻击的目的
Node.js —— 前后端的身份认证 之用 express 实现 JWT 身份认证
最新发布
迪幻的博客
05-24 1052
本文向大家解读了jwt的认证机制以及在Express框架下如何使用jwt认证
Express实现Session+Cookie认证
jlin991的博客
02-28 532
ExpressExpress 并非真正的 MVC 它是工作流的思想:水->净化->调配->装瓶->质检->饮用可乐var express=require('express'); var app=express(); app.get('/',function(req,res){ res.send('Hello World'); }); var server=app.listen(3000,
Express中的JWT使用
weixin_47295886的博客
09-14 4440
安装jwt相关的包两个:jsonwebtoken \ express-jwt 定义secret密钥 如何在登录成功后生成JWT字符串——生成Token 将JWT字符串还原成为JSON对象——解析Token 使用req.user(req.auth)获取用户信息——有权限的接口 捕获解析JWT(即解析token)失败后产生的错误——错误中间件在最后 进行捕获错误
Express中间件用于保护cookie通过HttpOnly并添加标记检查是否存在
08-10
Express 中间件用于保护cookie通过HttpOnly并添加标记检查是否存在
express框架中使用jwt实现验证的方法
10-16
主要给大家介绍了关于express框架中使用jwt实现验证的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用express具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
node-auth-api:使用ExpressJWT构建的基本身份验证API
05-08
使用ExpressJWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
express-auth:使用jwt进行身份验证以实现快速应用程序。 请查看自述文件以获取可用的API
05-13
使用JWT进行身份验证 如何使用 在终端中运行此命令以安装依赖项 npm install 创建一个.env文件,如下所示 PORT=[number that you wish the server to run on] DB_URI=[mongo db URI] ACCESS_TOKEN_SECRET=[secret ...
express + jwt + postMan验证实现持久化登录
10-16
主要介绍了express + jwt + postMan验证实现持久化登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot 使用jwt进行身份验证的方法示例
08-26
SpringBoot 使用jwt进行身份验证的方法示例 本文主要介绍了使用SpringBoot框架实现jwt身份验证的方法示例。jwt(JSON Web Token)是一种轻量...使用jwt身份验证机制可以提供许多好处,但需要注意其缺点和安全性风险。
前后端分离之JWT用户认证
热门推荐
kevin_lcq的博客
07-08 3万+
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。
web 开发中jwt使用
一路奔跑94的博客
04-28 2830
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
编写一个应用于mpa场景下的webpack插件
qq_26976669的博客
01-10 252
登录信息传递方式以及请求后台接口方式改变 解释:token还是JWT的形式,把token放入headers去请求改为token存入cookies,让后台自行判断是否过期。前端登录成功之后获取到token,把token解析后放入localstorage。 步骤: 1、输入用户名和密码登录 2、登录成功获取到token,包含用户名、角色id、过期时间等 3、把token中的信息解析后放入localst...
JWT Token存储在Cookie还是LocalStorage
cjl969911737的博客
07-28 8736
JWT 是将web 应用无状态化的一种方式。 1. 首先拿到JWT Token HTTP/1.1 POST /token Host: galaxies.com Content-Type: applic...
express 设置 cookie 以及 httpOnly
weixin_30270889的博客
09-13 304
权限控制基本 cookieexpress 中引入 cookie-parser const express = require('express') const cookieParser = require('cookie-parser') const app = express() app.listen(3000, () => { console.log('app runn...
node.jsexpress-session配置项详解
高山上的鱼
03-28 2万+
官方地址:阅读 作用:用指定的参数创建一个session中间件,sesison数据不是保存在cookie中,仅仅sessionID保存到cookie中,session的数据仅仅保存在服务器端 警告:默认的服务器端的session存储,MemoryStore不是为了生产环境创建的,大多数情况下会内存泄露,主要用于测试和开发环境 接受的参数:    cookie:也就是session ID的c
使用 express jwt 创建 登陆验证功能
06-10
好的,我可以为您提供一个简单的示例代码来演示如何使用 Express 和 JSON Web Token (JWT) 创建登录验证功能。 首先,您需要安装 Express、jsonwebtoken、body-parser 和 cookie-parser 模块。您可以使用以下命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值