【Koa】利用 JWT 实现 token验证

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量2.9k 收藏 16
点赞数 7
分类专栏: Koa 文章标签: 中间件 node.js 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morilence/article/details/104301904
版权

Koa 利用 JWT 实现 token验证

一、JSON Web Token 简介

  JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.

  JSON Web Token(JWT)是一种基于JSON的开放标准(RFC 7519),它定义了一种紧凑(compact)且自包含(self-contained)的方式,以JSON对象的形式在各方之间安全地传输信息,而这些信息能够通过数字签名进行验证并予以信任,即可以使用密钥(secret,使用HMAC算法)或以RSA/ECDSA的公钥/私钥对的方式对JWT进行签名。是目前最流行的跨域认证解决方案。

官网Implementation of JWTs

二、使用 node-jsonwebtoken 实现验证

  node-jsonwebtoken 是基于 nodejs 的 JWT 鉴权库,接下来我们将使用它为我们的Koa服务增添token验证的功能。

GitHubJsonWebToken implementation for node.js

(一)、接口详解

磨刀不误砍柴工,我们要先熟悉 node-jsonwebtoken 到底给我们提供了什么

1. token签发 —— jwt.sign()

jwt.sign(payload, secretOrPrivateKey, [options, callback])

其中各项参数详细如下:

  • <payload> :
      作用:携带信息
      接受类型:可有效转化为JSON对象的Object对象、Buffer或String对象
      注:当传入的是Object字面量时,可以在其中指定JWT Claims
      附:JWT Claims 包含:iss(Issuer)、sub(Subject)、aud(Audience)、exp(Expiration Time)、nbf(Not Before)、iat(Issued At)、jti(JWT ID). 其中某些 claim 在接下来的 <options> 参数中还会提到

  • <secretOrPrivateKey> :
      作用:标识签名
      接受类型:Object对象、Buffer对象或String对象
      注:JWT 支持对称加解密和非对称加解密两种方式,若采用前者来加密签名,则直接传入密钥(secret)即可(默认HMAC算法 );若采用后者来加密签名,一种形式可直接传入私钥(privateKey),另一种则是附上自己指定的通行口令(passPhrase),以 { key, passphrase } 对象字面量的形式传入,并且确保要在 <options> 参数中指定算法(algorithm)

  • <options> :
      属性:
       algorithm : 算法(默认为HS256)
       expiresIn : 有效时间,若赋为数值,则默认以秒为单位;若赋为表示时间跨度的字符串,应指定时间单位(例如ms、s、h、d等等),无单位情况下将默认以毫秒为单位(看清楚了,两种情况的默认单位可不一样哦!)
       notBefore : 生效延迟时间(token将在指定时间后才开始生效),若赋为数值,则默认以秒为单位;若赋为表示时间跨度的字符串,应指定时间单位(例如ms、s、h、d等等),无单位情况下将默认以毫秒为单位
       audience : 接收者
       issuer : 签发者
       jwtid : 唯一标识
       subject : 主题
       noTimestamp : 是否禁止添加签发时间(boolean),为 true 将不会为 payload 默认添置 iat 声明
       header : 用于自定义头部信息(Object对象)
       keyid : 暂未搞清楚😁
       mutatePayload : 是否修改 <payload> 引用的对象(boolean),若 <payload> 传入的不是对象字面量,而是一个对象的引用:该参数为 true 时表示将会修改该引用对象(即允许添置默认的 iat 等声明);为 false 则保持引用对象不变。

  • <callback> :
      作用:回调处理
      接受类型:函数
      注:异步情况下传入

2. token验证 —— jwt.verify()

jwt.verify(token, secretOrPublicKey, [options, callback])

其中各项参数详细如下:

  • <token> : 客户端传递来的待验证的 token

  • <secretOrPrivateKey> : 用于验证,注意事项等 同1

  • <options> :
      属性:
       algorithms : 待用的算法列表,例如:[“HS256”, “HS384”]
       audience : 用于检查接收者,可以是字符串或正则表达式
       complete : 是否返回 token 的完整信息,为 true 将返回形式为 { payload, header, signature } 的对象,为 false 则仅返回 payload
       issuer : 用来检查签发者,可以是字符串或字符串数组
       ignoreExpiration : 是否检查token有效时间,为true则不检查
       ignoreNotBefore : 是否检查token的生效延迟时间,为true则不检查
       subject : 用于检查主题,
       clockTolerance : 在检查 expnbf 时可容忍的秒数,用于忽略不同服务器之间存在的微小时差
       maxAge : 允许token有效的最大时限,若赋为数值,则默认以秒为单位;若赋为表示时间跨度的字符串,应指定时间单位(例如ms、s、h、d等等),无单位情况下将默认以毫秒为单位
       clockTimestamp : 用于参照比较的 “当前时间(戳)”
       nonce : 用于检查 nonce 声明

  • <callback> :
      作用:回调处理
      接受类型:函数
      注:异步情况下传入

3. 负载解码 —— jwt.decode()

jwt.decode(token [, options])

在不验证签名是否有效的情况下对负载进行解码并返回,只有同步形式

其中各项参数详细如下:

  • <token> : 客户端传递来的待验证的 token

  • <options> :
      属性:
       json : 是否强制将 payload 转化为JSON格式(即使 header 中未包含 “typ”:“JWT”)
       complete : 是否返回完整的 token信息(此处仅含 payload 和 header)

4. 验证失败的错误类型

好啦,了解完三大函数我们接下来看看 JWT 定义了哪些错误类型:

(1). TokenExpiredError

致错原因:token过期

Error object:

  • name: ‘TokenExpiredError’
  • message: ‘jwt expired’
  • expiredAt: [ExpDate]
(2). JsonWebTokenError

致错原因:token格式错误、token未携带签名、token签名无效、token携带无效aud、token携带无效iss、token携带无效jti、token携带无效sub

Error object:

  • name: ‘JsonWebTokenError’
  • message:
    • ‘jwt malformed’
    • ‘jwt signature is required’
    • ‘invalid signature’
    • ‘jwt audience invalid. expected: [OPTIONS AUDIENCE]’
    • ‘jwt issuer invalid. expected: [OPTIONS ISSUER]’
    • ‘jwt id invalid. expected: [OPTIONS JWT ID]’
    • ‘jwt subject invalid. expected: [OPTIONS SUBJECT]’
(3). NotBeforeError

致错原因:token仍未生效

Error object:

  • name: ‘NotBeforeError’
  • message: ‘jwt not active’
  • date: 2018-10-04T16:10:44.000Z

(二)、安装引用

了解之后,想必各位也跃跃欲试了
首先,安装 jsonwebtoken 并添至生产环境(dependencies):

npm i jsonwebtoken -S

为了更简洁直观地看出 jsonwebtoken 的使用方法,将省略用不到的Koa中间件,服务主程序代码:

const fs = require('fs');
const Koa = require('koa');
const Router = require('koa-router');
const static = require('koa-static');
const jwt = require('jsonwebtoken'); // 引入jsonwebtoken

const app = new Koa();
const router = new Router();

router
    .get('/', ctx => {
   
        ctx.type = 'html';
        ctx.body = fs.createReadStream('./public/index.html');
    })
    .get('/api', ctx => {
   
        ctx.type = 'json';
        ctx.body =
最低0.47元/天 解锁文章
Morilence
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
koa --- > jwt实现最简单的Token认证
栗子好好吃的博客
11-18 347
HTML 有如下html: 先看代码后挑重点来说明: <!DOCTYPE html> <head> <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script> <script src="https://unpkg.com/axios/dist/a...
koa2中使用jwt
dan_seek的博客
02-10 1922
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息。随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单 JSON Web Token由三部分组成,它们之间用圆点(.)连接,header.payload.signature header存token类型和签名算法 payl
koa2服务端使用jwt进行鉴权及路由权限分发的流程分析
10-16
主要介绍了koa2服务端使用jwt进行鉴权及路由权限分发 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
使用koa-jwt进行身份验证——koa2
qq_39905409的博客
12-19 7246
1、安装koa-jwt及jsonwebtoken 2、后台用jsonwebtoken生成token users.js文件 3、前端接收数据为 4、前端将token保存到本地,请求接口时就带上这个token 注意:jwt-koa验证机制需要将token设置为“authorization:Bearer token”,否则会报错 5、后台先用jwt-koa检测是否存在authorizatio...
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 1317
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
Koa-JWT-Sample:构建安全JWT认证的Koa应用模板
gitblog_00034的博客
04-05 422
Koa-JWT-Sample:构建安全JWT认证的Koa应用模板 项目地址:https://gitcode.com/superman66/koa-jwt-sample 项目简介 Koa-JWT-Sample 是一个基于 Koa.js 框架和 JSON Web Tokens(JWT)的简单示例项目,它为你展示了如何在Node.js环境中实现用户身份验证和授权。这个项目提供了一个清晰的起点,帮助开发...
koa实战 (三):JWT --Token 登录验证
唐璜Taro的博客
10-01 1203
使用JWT创建token,设置有效时间,返回数据等,然后将token返回到前端调用处, 前端登录处调用后端接口,然后接收到token后,然后将token存储到本地的浏览器中
推荐使用:Koa-JWT安全Koa中间件实现JWT验证
gitblog_00063的博客
05-14 524
推荐使用:Koa-JWT安全Koa中间件实现JWT验证 jwtKoa middleware for validating JSON Web Tokens项目地址:https://gitcode.com/gh_mirrors/jwt2/jwt 在构建现代Web应用时,确保用户数据的安全是至关重要的。Koa-JWT是一个强大的Koa中间件,用于验证JSON Web Tokens(JWT),以保护...
【Node】Koa中通过JWT非对称加密生成Token
qq_53512708的博客
07-30 1141
一. JWT实现Token机制 1. header 2.payload 3.signature 二. 非对称加密,生成私钥和公钥 openssl genrsa -out private.key 1024 rsa -in private.key -pubout -out public.key 三.Koa中通过JWT非对称加密生成Token expiresIn是过期时间; algorithm是选择的加密算法; 生成token后保存 倘若jwt验证失败会自动抛出错误,因此需要通过try-catch包裹...
Koa + JWT + 登录+ 后台验证
燃燃的大尾巴
09-14 531
token 方法封装 — jwt-token.js const jwt = require('jsonwebtoken'); // 用于签发、解析`token` const jwtSecret = 'jwtSecret' const tokenExpiresTime = 60 * 60 * 4 // 4小时 /* 获取一个期限为4小时的token */ function getToken(payload = {}) { return jwt.sign(payload, jwtSecret, {.
koa+jwt实现token验证与刷新功能
10-16
主要介绍了koa+jwt实现token验证与刷新功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Node.jsKoa实现JWT用户认证方法
10-18
Koa经常与JSON Web Tokens(JWT)配合使用,来实现安全的用户认证机制。接下来,我们将详细解析如何使用Koa框架实现JWT用户认证的整个流程。 首先,我们来了解几个关键的前置知识。基于Token的身份验证是一种流行的...
SpringBoot集成JWT实现token验证
qq_41828543的博客
01-22 2079
原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的...
Koa开发之koa-jwt工作过程
jifukui的专栏
10-17 524
最近的工作是开发一个分布式的服务系统,选用的环境是node开发环境,由于需要全面的进行异步开发所以使用Koa框架,开发Web服务需要对用户进行身份认证,所以就使用koa-jwt,为什么使用token这种方式网上有很多介绍token和session的区别我这里就不再赘述了。在给大家演示代码之前我在这一章主要是介绍koa-jwt的工作流程在后面的一章中我将使用程序对大家进行演示。 首先我在这附上koa-jwt的源代码,然后为大家剖析其的工作流程。 源程序 koa-jwt的源程序的主程序在lib/...
JWT实现Token验证
海风的博客
03-26 995
一 流程图 二 代码 package com.demo.util; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.Claim; import com.auth0.jwt.interfaces.DecodedJWT; import java.util.Calend..
JWT机制实现Token身份验证
wintershii的博客
03-09 558
JWT机制实现Token身份验证 1.JWT(JSON WEB TOKEN) 由于HTTP的无状态性,我们无法判断是哪个客户端在请求接口。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。 解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID ...
koa-jwt 全面解析,安检利器!
weixin_33984032的博客
11-30 440
学习 Koa 不易,今天学习到了 koa-jwt 这个登陆验证必不可少的中间件。本文会说明jwt是什么、token怎么来的、如何验证token。一反常态,先上代码!(本代码由 koa-generater 生成,安装 koa-jwt, jsonwebtoken 两个 npm 包 )文件名及源代码:文件名: app.js红色框:jwt 相关的代码蓝色框:为了完成demo,在原有脚手架中做的调整。文件...
koa jwt token
10-22
Koa JWT Token是一种基于JSON Web TokenJWT)的身份验证机制,它使用node-jsonwebtoken实现token验证JWT是一种开放标准,它定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。在Koa应用程序中,我们可以使用koa-jwt中间件来简化token验证实现。通过使用koa-jwt,我们可以在全局或局部指定路由鉴权,以确保只有经过身份验证的用户才能访问受保护的资源。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值