node.js express JWT token生成与校验

已于 2023-12-11 17:36:28 修改
阅读量1.4k 收藏 22
点赞数 16
分类专栏: node-express 文章标签: node.js express
于 2023-12-11 11:54:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SupperSA/article/details/134920696
版权

目录

JWT

header(标头)

payload(有效负载)

signature(签名)

访问令牌(token)

express jwt生成、验证

生成jwt

验证jwt

JWT

JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。

生成验证流程

用户账号密码注册或登录,服务端用HMACSHA256根据secret和base64Url编码后的headerpayload进行加密生成signature,然后将base64Url编码后的headerpayload以及signature通过“.”相连接,最终形式xxxx.yyyy.zzzz(token),之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。

header(标头)

生成token的头信息,通常由两部分组成,包含令牌类型alg和所使用的签名算法typ

{
    "alg":"HS256",
    "typ":"JWT"
}

payload(有效负载)

通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp

{
  "id": "655c78ccd9107661e41abd9f",
  "iat": 1702260106,
  "exp": 1710036106
}

signature(签名)

HMAC-SHA256(Hash Message Authentication Code-Secure Hash Algorithm 256 bit)是一种加密算法,是SHA-256散列函数与一个密钥结合的身份验证方法。HMAC的安全性基于散列函数(SHA-256),而且可以通过密钥的添加来增加信任度。此算法经常用于网络领域中,例如 HTTPS、SSL、SSH 等加密通讯领域。

生成signature:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), secret
)

访问令牌(token)

base64UrlEncode(header) + '.' + base64UrlEncode(payload) + '.' + signature

举例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjY1NWM3OGNjZDkxMDc2NjFlNDFhYmQ5ZiIsImlhdCI6MTcwMjI2MDEwNiwiZXhwIjoxNzEwMDM2MTA2fQ.ca-J91WaThntP3IhMBQNps9MVqts8oi_f62KcV2r4D8

express jwt生成、验证

1、安装jsonwebtoken依赖,npm install jsonwebtoken --save

2、在代码controller层引入依赖,在登录、注册的时候生成token

//环境变量,通过安装dotenv依赖,在express入口文件中加载,
这么做的目的是不让密钥等敏感信息硬编码在代码中


JWT_SECRET=this-is-my-secret-password
JWT_EXPIRES_IN=90d

生成jwt

// authController.js 用户的登录、注册、密码修改、token生成、权限校验、凭证认证等
const jwt = require('jsonwebtoken');

const signToken = id => {
  return jwt.sign({ id }, process.env.JWT_SECRET, {
    expiresIn: process.env.JWT_EXPIRES_IN
  });
};

验证jwt

promisify(jwt.verify)(token, process.env.JWT_SECRET);

const { promisify } = require('util'); 

// protect中间件, 用于验证用户
exports.protect = catchAsync(async (req, res, next) => {
  let token;
  if (
    req.headers.authorization &&
    req.headers.authorization.startsWith('Bearer')
  ) {
    token = req.headers.authorization.split(' ')[1];
  }

  if (!token) {
    return next(
      new AppError('您还还没有登录或注册', 401)
    );
  }

  // 2) 验证 token
  const decoded = await promisify(jwt.verify)(token, process.env.JWT_SECRET);
  
  // 验证jwt是否有效,decode信息是payload,其中包含用户生成jwt的id、iat、exp
  // 通过这个唯一id可以查询用户信息,如果promisify是rejected则进行错误处理逻辑
});

SuppperSA
关注
  • 16
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token生成与验证
weixin_61652943的博客
06-14 1780
token生成与验证
Node.js身份验证实践:Express-JWT和JSON Web Token的用法
m0_64642443的博客
01-31 3107
JSON Web TokenJWT)在应用程序中充当了身份验证和授权的关键工具。它通过在生成的令牌中携带用户信息,实现了无状态的身份验证,避免了传输敏感信息,同时提高了应用的安全性。主要用于验证从客户端发送的包含 JWT 的请求头。它帮助我们确认用户的身份是否有效,并在认证成功后将用户信息附加到请求对象上,方便后续处理。我们学习了如何使用库生成 JWT,并将其发送给客户端。客户端在后续请求中携带 Token,而服务器通过验证 Token 的合法性,实现了用户的无缝身份认证。除了认证外,
Node.js —— 前后端的身份认证 之用 express 实现 JWT 身份认证
最新发布
迪幻的博客
05-24 1126
本文向大家解读了jwt的认证机制以及在Express框架下如何使用jwt认证
Token生成并验证
pu329289309的博客
08-12 4281
Token生成并验证TokenUtils生成 Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌(可以理解为一个字符串),当第一次登录后,服务器生成一个Token,便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码,(一般用户名和密码都被存在生成的字符串中,在服务器拿到这串字符串然后解析会得到传入的用户名和密码)。 TokenUtils pom.xml <dependency> <groupI
Token生成和验证
weixin_2630663675的博客
06-27 226
【代码】Token生成和验证。
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
在本文中,我们将深入探讨如何使用Node.jsExpress框架以及JSON Web Tokens (JWT)来实现一个用户登录的校验及权限拦截系统。这个系统的主要目标是确保服务端的安全性,进行用户认证与授权。 首先,我们需要了解...
node.js+mysql博客全栈系统源码.zip
03-20
1. 用户认证与授权:使用JWT(JSON Web Token)进行身份验证,保护敏感接口。 2. 数据安全:对用户输入进行校验,防止SQL注入。 3. 性能优化:使用连接池管理数据库连接,避免频繁创建和关闭连接。 4. 路由缓存:...
cognito-express:通过验证Amazon Cognito生成的AccessToken或IDTokenJWT签名来验证Node应用程序上的API请求
02-01
cognito-express通过验证由Amazon Cognito生成的AccessToken或IDTokenJWT签名,对Node.js应用程序(在服务器上运行或在AWS Lambda函数中运行)上的API请求进行身份验证。 动机 通过此模块,您可以通过验证...
Nodejs中的JWT和Session的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
JWT 生成Token及验证
01-22
JWT生成token及验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
一个简单的vue+node登录注册项目.zip
10-22
- **JSON Web Token (JWT)认证**:可能用于实现用户登录状态的验证,生成并发送JWT,客户端保存并将其附在请求头中进行身份验证。 3. **登录注册流程**: - **表单提交**:Vue.js可以监听表单提交事件,发送Ajax...
token身份验证---生成token和验证token
Jonah的博客
10-29 8151
1.什么是token 现在可以说,JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点是无法作废已颁布的令牌/不易应对数据过期。 英文网址如下:https://jwt.io/introduction/ 2.token的优势 优势 Token相对于Cookie/Sessio
13.(后端)生成token并验证
m0_63953077的博客
10-12 2179
在flask_shop的工具类utils下创建一个新文件,专门用于生成和验证token信息。若对token不了解,可以查看第12篇文章。
Day4-生成并验证token
weixin_57300214的博客
07-13 371
day3
Express框架实现JWT
Yusen2001的博客
07-08 1084
JWT JSON Web Token是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。   JWT由三部分组成 1.Header:由两部分组成:token的类型(“JWT”)和加密算法的名称(SHA256,RSA等)。 2.Payload:包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。简单来说就是存储在token中用户自定义的数据。 3.Signature:密钥。   Expres
token系列1—生成校验
yzw3270978316的博客
03-31 2953
token生成原理
深入理解 Token生成校验过程详解
weixin_42279822的博客
03-21 4888
标题:深入理解 Token生成校验过程详解在网络应用中,Token 是一种常见的身份验证和授权机制,它通过加密技术来确保通信的安全性和用户身份的合法性。在本文中,我们将深入探讨 Token生成校验过程,并提供详细的示例来帮助读者更好地理解。
node.js实现jwt
06-08
实现 JWT(JSON Web Token)需要使用 Node.js 中的 jsonwebtoken 模块。下面是一个简单的实现示例: ```javascript const jwt = require('jsonwebtoken'); // 创建一个 JWT const payload = { username: 'testuser...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值