【Node.js从基础到高级运用】十二、身份验证与授权:JWT

已于 2024-03-14 17:12:11 修改
阅读量1k 收藏 10
点赞数 34
分类专栏: Node.js 文章标签: node.js
于 2024-03-14 17:09:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vip_wk/article/details/136713234
版权

身份验证与授权是现代Web应用中不可或缺的部分。了解如何在Node.js应用中实施这些机制,将使你能够构建更安全、更可靠的应用程序。本文将引导你通过使用JWT实现用户注册、登录和权限控制的过程。

JWT(Json Web Token)

JWT是一种用于双方之间安全地传输信息的简洁的、URL安全的表示声明的方法。它由三部分组成:头部(Header)、载荷(Payload)、签名(Signature)。

JWT的实现步骤

安装依赖

首先,安装JWT相关的npm包:

npm install jsonwebtoken --save

创建JWT

在用户登录成功后,你需要创建一个token发送给用户:

const jwt = require('jsonwebtoken');

const user = { id: user.id }; // 用户的唯一标识
const secret = 'your_secret_key'; // 保持安全的秘钥
const token = jwt.sign(user, secret, { expiresIn: '1h' }); // 有效期1小时

验证JWT

创建一个中间件来验证每次请求的JWT:

function authenticateToken(req, res, next) {
    const authHeader = req.headers['authorization'];
    // 从请求头中获取'authorization'字段
    const token = authHeader && authHeader.split(' ')[1];
    if (token == null) return res.sendStatus(401);
    // 如果没有token,则返回401

    jwt.verify(token, 'your_secret_key', (err, user) => {
        if (err) return res.sendStatus(403);
        // 如果token验证失败,则返回403
        req.user = user;
        next();
    });
}

权限控制

使用前面创建的authenticateToken中间件来控制访问特定路由的权限:

app.get('/protected', authenticateToken, (req, res) => {
    res.json({ message: 'This is protected' });
    // 这个路由现在受到保护,只有带有有效JWT的请求才能访问
});

结合Express + MongoDB + JWT 示例

准备工作

安装必要的npm包

npm install express mongoose@4.4.0 jsonwebtoken bcryptjs body-parser --save

这些包包括Express框架、Mongoose(MongoDB的ODM)、jsonwebtoken(用于JWT操作)、bcryptjs(用于密码加密)和body-parser(用于解析请求体)。

启动MongoDB服务

确保MongoDB服务在本地运行或者你有一个MongoDB Atlas云服务的实例。

mongo

开始

设置Express应用
const express = require('express'); // 引入express模块
const bodyParser = require('body-parser'); // 引入body-parser模块用于解析请求体
const mongoose = require('mongoose'); // 引入mongoose模块连接MongoDB
const { register, login, authenticateToken } = require('./controllers/authController'); // 引入控制器

const app = express(); // 创建express应用
const PORT = process.env.PORT || 3000; // 定义端口号

app.use(bodyParser.json()); // 使用body-parser中间件解析JSON格式请求体
// 构建MongoDB连接的URL
const url = 'mongodb://localhost:27017/mydb'; // 这里将地址和数据库名拼接在了一起
// 连接到MongoDB数据库
//mongoose.connect方法用于初始化数据库连接。
//它接受两个参数:
//第一个参数是MongoDB的连接字符串,
//第二个参数是一个选项对象,
//这里使用了useNewUrlParser和useUnifiedTopology选项
//以使用新的URL解析器和驱动引擎,这两个选项有助于避免一些常见的连接警告。
mongoose.connect(url, { useNewUrlParser: true, useUnifiedTopology: true })
  .then(() => console.log('MongoDB connected')) // 连接成功后打印消息
  .catch(err => console.log(err)); // 连接失败打印错误信息

// 注册和登录路由
app.post('/register', register);
app.post('/login', login);

// 受保护的路由示例,使用authenticateToken中间件保护
app.get('/protected', authenticateToken, (req, res) => {
  res.json({ message: 'This is protected' }); // 受保护的资源
});

// 启动服务器
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
创建User模型

models/User.js中:

const mongoose = require('mongoose'); // 引入mongoose模块

// 定义用户模型的schema
const userSchema = new mongoose.Schema({
  username: { type: String, required: true, unique: true }, // 用户名,必填,唯一
  password: { type: String, required: true } // 密码,必填
});

// 导出模型
module.exports = mongoose.model('User', userSchema);
实现注册与登录逻辑

controllers/authController.js中:

const bcrypt = require('bcryptjs'); // 引入bcryptjs用于密码加密
const jwt = require('jsonwebtoken'); // 引入jsonwebtoken用于生成JWT
const User = require('../models/User'); // 引入User模型

// 注册逻辑
exports.register = async (req, res) => {
  const { username, password } = req.body; // 从请求体获取用户名和密码
  const hashedPassword = await bcrypt.hash(password, 10); // 对密码进行加密

  try {
    // 创建新用户并保存到数据库
    const newUser = await User.create({ username, password: hashedPassword });
    res.status(201).json(newUser); // 发送201响应和新用户信息
  } catch (error) {
    res.status(500).json({ error: error.message }); // 发送500响应和错误信息
  }
};

// 登录逻辑
exports.login = async (req, res) => {
  const { username, password } = req.body; // 从请求体获取用户名和密码
  const user = await User.findOne({ username }); // 查找用户

  // 如果用户不存在或密码错误
  if (!user || !(await bcrypt.compare(password, user.password))) {
    return res.status(401).send('Invalid credentials'); // 发送401响应
  }

  // 生成JWT
  const token = jwt.sign({ userId: user._id }, 'your_secret_key', { expiresIn: '1h' });
  res.json({ token }); // 发送包含JWT的响应
};

// JWT验证中间件
exports.authenticateToken = (req, res, next) => {
  const authHeader = req.headers['authorization']; // 获取请求头中的authorization字段
  const token = authHeader && authHeader.split(' ')[1]; // 提取token
  if (!token) return res.sendStatus(401); // 如果没有token,发送401响应

  // 验证token
  jwt.verify(token, 'your_secret_key', (err, decoded) => {
    if (err) return res.sendStatus(403); // 如果验证失败,发送403响应
    req.userId = decoded.userId; // 将解码的用户ID添加到请求对象
    next(); // 调用下一个中间件
  });
};
测试
  1. 使用Postman或任何API测试工具,先调用/register端点注册新用户。
  2. 使用注册信息调用/login端点,你会收到一个JWT。
  3. 尝试访问/protected端点,把JWT添加到请求头中(通常是Authorization: Bearer <your_token>)。
  4. 如果一切配置正确,你应该能够访问受保护的路由。

http://localhost:3000/register
在这里插入图片描述

http://localhost:3000/login
在这里插入图片描述
未加token,访问http://localhost:3000/protected
在这里插入图片描述
加token,访问http://localhost:3000/protected
在这里插入图片描述

总结

本文介绍了如何在Node.js应用中实现用户身份验证和授权,特别是通过使用Node.js、Express和MongoDB实现JWT基于的身份验证和授权的全面指导,包括注册、登录和访问受保护资源的流程。这为构建安全的Web应用程序奠定了坚实的基础。

Vip_wk
关注
  • 34
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api-auth-jwt使用JWT进行Node.js api身份验证
02-03
api-auth-jwt目录基本信息使用JWT进行 api身份验证技术领域Nodejs 表达Mongodb 猫鼬多滕夫智威汤逊Bcryptjs
Node.js 高级篇(四):实现 token 身份验证
知之为知之,不知为不知
04-05 2221
Token 是在服务端产生的。如果客户端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给客户端。客户端可以在每次请求的时候带上 Token 证明自己的合法地位
其他内容:使用 Node.js 进行 JWT 身份验证
新华编程特战队
03-16 773
有几种方法可以将信息从一方传输到另一方。非常重要的是,共享的信息不受任何第三方的干扰。智威汤逊是检查传输数据有效性的方法之一。JSON 的无状态、轻量级和流行等功能使 JWT 成为最兼容和最易于使用的。基于开放标准 (RFC 7519) 的 JSON Web 令牌是一种基于 JSON 的方法,用于通过网络传输数据。它是一种紧凑且自包含的方法,其中使用身份提供程序提供的私钥或公钥对对数据进行数字签名。这允许参与传输的各方验证数据的完整性和真实性。
Node.jsNode.js入门(八):express-jwt
郭老二
11-03 2539
可以使用getToken选项指定从请求中提取令牌的自定义函数。客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再把这个token返回给客户端客户端收到token后可以把它存储起来,比如放到cookie中客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带。
Node.js数据库与身份验证(MySQL,前后端身份认证:Session 认证机制,JWT认证机制)
切图仔
04-07 768
Node.js数据库与身份验证(MySQL,前后端身份认证:Session 认证机制,JWT认证机制)
node-auth-api:使用Express和JWT构建的基本身份验证API
05-08
使用Express和JWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
authentication-jwt:使用JWT学习身份验证-Node.js-Express.js
04-30
使用JWT进行身份验证-Tuto使用Netninja播放列表身份 智威汤逊代表JSON Web令牌。定义身份验证路由路线方法公用事业/报名得到注册页面/登录得到登录页面/报名邮政在数据库中创建一个新用户/登录邮政验证当前用户/登出...
node_passport_auth:使用Passport JS和JWTJWT进行Node.js身份验证
05-15
node_passport_auth 使用Passport JS和JWTJWT进行Node.js身份验证
NodeAuthAPI:在Node.js中为API设置基于JWT令牌的身份验证
03-08
NodeAuthAPI:在Node.js中为API设置基于JWT令牌的身份验证
深入了解 npm:Node.js 包管理工具详解
学IT,找陈寒
05-14 1100
安装第三方包:从 npm 官方库下载并安装第三方包。管理依赖包:管理项目中的依赖包,包括添加、删除、更新等操作。发布自己的包:将自己的库发布到 npm 官方库,供其他开发者使用。npm 是 Node.js 生态系统中不可或缺的一部分。通过本文的介绍,你应该已经掌握了 npm 的基本使用方法和一些高级技巧。无论是管理项目依赖,还是发布自己的包,npm 都提供了丰富的功能来满足开发者的需求。希望本文能够帮助你更加高效地使用 npm,提升项目开发效率。😊🙏Java面试技巧。
Node.js 的 fs 模块和 path 模块的一些方法,以及第三方库 inquirer 和 ejs
weixin_43719925的博客
05-15 383
在你的代码片段中,你引入了 Node.js 的fs模块和path模块的一些方法,以及第三方库inquirer和ejs。
Node.js 学习笔记 express框架
yavlgloss的博客
05-14 1044
express框架学习笔记
node.js —— 解读path模块
迪幻的博客
05-19 268
path.join() 方法会根据当前操作系统自动使用正确的路径分隔符,确保生成的路径在所有平台上都是有效的。代码可读性和维护性: 使用 path.join() 方法可以使代码更具可读性和可维护性,因为它清晰地表达了路径的连接操作,而不是简单的字符串拼接。解决路径中的相对路径问题: 使用 path.join() 方法可以解决路径中的相对路径问题,确保生成的路径是基于当前工作目录的绝对路径。处理尾部斜杠: path.join() 方法会处理路径中尾部的斜杠,确保最终的路径不会因为多余的斜杠而出现问题。
led-Opt.Bak
最新发布
05-21
毕设&课设&项目&实训- 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
【图像加密解密】基于matlab菲涅尔域双随机相位编码图像加密解密【含Matlab源码 4548期】.mp4
05-21
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
人工智能项目+OpenCV+实例分割+Cpp实现+模型部署+qt界面+完全可用版+C++
05-21
【内容概要】 本C++项目,集成OpenCV库与实例分割模型,实现了对图像中不同对象的精确分割。项目采用先进的实例分割算法,并以C++为核心开发语言,搭配Qt框架构建用户友好型图形界面。完成模型训练后,实现了模型的高效部署,用户可直接通过QT界面上传图片,以及选择模型地址,就可获取分割后的结果。 【适用人群】 适合C++开发者、CV工程师、机器学习研究者及对AI技术有浓厚兴趣的学生群体。 【使用场景】 广泛适用于工业检测、医学影像分析、农林业病虫害识别、智能监控系统及AR增强现实等领域。无论是学术研究中的数据预处理,还是企业级产品中的图像分析功能开发,该项目都能提供坚实的技术支撑。 【目标】 项目旨在通过实战演练,帮助开发者掌握从理论到实践的全过程:包括模型选择与优化、C++接口的OpenCV操作、Qt界面设计与交互逻辑实现,直至模型的高效部署与应用。最终目标是打造一个即拿即用的实例分割工具,促进AI技术在多领域的落地应用,同时提升开发者在复杂项目。
netty-resolver-4.1.22.Final.jar
05-21
javaEE javaweb常用jar包 , 亲测可用,下载后导入到java工程中使用
node.js实现jwt
06-08
实现 JWT(JSON Web Token)需要使用 Node.js 中的 jsonwebtoken 模块。下面是一个简单的实现示例: ```javascript const jwt = require('jsonwebtoken'); // 创建一个 JWT const payload = { username: 'testuser' }; const secretKey = 'mysecretkey'; const token = jwt.sign(payload, secretKey); // 验证 JWT const decoded = jwt.verify(token, secretKey); console.log(decoded); // { username: 'testuser', iat: 1634117488 } ``` 在上面的示例中,我们使用 `jwt.sign()` 方法创建了一个 JWT,并将其存储在 `token` 变量中。该方法接受两个参数:JWT 的负载(即要加密的数据)和一个密钥。在这个示例中,我们使用了一个简单的字符串作为密钥,但在实际应用中,应该使用更安全的密钥。 要验证 JWT,我们使用 `jwt.verify()` 方法,并传入 JWT 和密钥作为参数。该方法会返回 JWT 的负载,如果验证失败会抛出异常。 需要注意的是,JWT 中存储的数据是可以被解密的,因此不应该在 JWT 中存储敏感信息。通常情况下,JWT 主要用于身份验证授权

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值