1.安装JWT相关的包
npm install jsonwebtoken express-jwt
jsonwebtoken用于生成JWT字符串
express-jwt用于将JWT字符串解析还原成JSON对象
2.定义secret密钥
为了保证WT字符串的安全性,防止JWT字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密的secret密钥:当生成JWT字符串的时候,需要使用secret密钥对用户的信息进行加密,最终得到加密好的JWT字符串当把JWT字符串解析还原成JSON对象的时候,需要使用secret密钥进行解密。
在登录成功之后,调用jwt.sign(参数1:用户的信息对象,参数2:加密的秘钥,参数3:配置对象,可以配置当前token的有效期)方法生成JWT字符串。并通过 token 属性发送给客户端。
//全局配置文件
module.exports = {
//加密和解密token的密钥
jwtSecretKey:'cainiaoqianduanNo1.^_^',
//token 生存周期
expiresIn:'10h'
}
3.注册将JWT字符串解析还原成JSON 对象的中间件
const expressJWT = require('express-jwt')
app.use(expressJWT({secret: secretKey}).unless({path: [/^V/apiV/]}))
unless()用于指定哪些接口不用进行解析,path后面的内容为正则表达式。
只要配置好express-jwt中间件后会自动将解析出来的信息挂载到req.use属性上
注意:千万不要将密码加密到token中
4.捕获解析JWT失败后产生的错误
当使用express-jwt解析Token字符串时,如果客户端发送过来的Token字符串过期或不合法,
会产生一个解析失败的错误,影响项目的正常运行。我们可以通过Express的错误中间件,捕获这个错误并进行相关的处理,示例代码如下;
//TODO_06:使用全局错误处理中间件,捕获解析JWT 失败后产生的错误
app.use((err,req,res,next) =>{
//这次错误是由token解析失败导致的
if(err.name === 'UnauthorizedError') {
return res.send({
status: 401,
message: '无效的token',})
}
res.send({
dstatus: 500,
message: '未知的错误',})
})