Express Auth实战:从用户注册到JWT令牌验证的完整指南

于 2024-08-30 23:42:50 发布
阅读量1.3k 收藏 9
点赞数 9
分类专栏: nodejs帮助文档 文章标签: express node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gusushantang/article/details/141729825
版权

在Web应用开发中,认证(Authentication)与授权(Authorization)是确保应用安全性的关键环节。Express作为Node.js的流行框架,提供了灵活而强大的中间件机制,使得实现认证与授权变得相对简单。本文将通过代码示例,深入讲解如何在Express应用中实现认证功能。

一、Express Auth概述

在Express中实现认证,通常涉及以下几个步骤:

  1. 用户注册:允许用户创建账户并存储必要信息,如用户名、密码等。
  2. 用户登录:验证用户提供的凭据(如用户名和密码),并生成认证令牌(如JWT)。
  3. 令牌验证:在用户后续的请求中验证令牌的有效性,以确保用户身份。
  4. 会话管理:跟踪用户的登录状态,并在需要时提供注销功能。

二、用户注册与登录

以下是一个简单的用户注册与登录的实现示例。

1. 设置Express应用

首先,创建一个新的Express应用并安装必要的中间件。

npm init -y
npm install express bcryptjs jsonwebtoken dotenv

然后,创建一个新的JavaScript文件(如app.js),并设置基本的Express应用。

const express = require('express');
const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');
const dotenv = require('dotenv');

dotenv.config();

const app = express();
app.use(express.json());

const users = []; // 简单的用户存储

// ...(后续代码将添加在这里)

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => console.log(`Server running on port ${PORT}`));
2. 用户注册路由

在用户注册时,我们需要存储用户的用户名和密码(经过哈希处理)。

app.post('/register', async (req, res) => {
  const { username, password } = req.body;

  // 检查用户名是否已存在
  const userExists = users.find((user) => user.username === username);
  if (userExists) {
    return res.status(400).send('User already exists.');
  }

  // 哈希密码
  const hashedPassword = await bcrypt.hash(password, 12);

  // 存储新用户
  users.push({ username, password: hashedPassword });

  res.status(201).send('User registered successfully.');
});
3. 用户登录路由

在用户登录时,我们需要验证提供的用户名和密码,并生成JWT令牌。

app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  const user = users.find((user) => user.username === username);
  if (!user) {
    return res.status(401).send('Invalid username or password.');
  }

  // 验证密码
  const isMatch = await bcrypt.compare(password, user.password);
  if (!isMatch) {
    return res.status(401).send('Invalid username or password.');
  }

  // 生成JWT令牌
  const token = jwt.sign({ id: user.username }, process.env.JWT_SECRET, {
    expiresIn: '1h',
  });

  res.json({ token });
});

三、令牌验证与会话管理

接下来,我们需要实现一个中间件来验证JWT令牌的有效性。

1. JWT验证中间件
const verifyToken = (req, res, next) => {
  const bearerHeader = req.headers['authorization'];
  if (typeof bearerHeader !== 'undefined') {
    const bearer = bearerHeader.split(' ');
    const bearerToken = bearer[1];
    req.token = bearerToken;
    jwt.verify(req.token, process.env.JWT_SECRET, (err, authData) => {
      if (err) {
        res.sendStatus(403);
      } else {
        req.user = authData;
        next();
      }
    });
  } else {
    res.sendStatus(403);
  }
};
2. 使用JWT验证中间件

现在,我们可以在需要认证的路由上使用这个中间件。

app.get('/profile', verifyToken, (req, res) => {
  res.json({ message: 'Access granted to protected resource', user: req.user });
});

四、总结

通过本文的代码示例,我们深入了解了如何在Express应用中实现用户注册、登录、JWT令牌生成与验证的完整流程。这些是实现认证功能的基础,可以根据具体需求进行扩展和定制。在实际开发中,还需要考虑更多的安全性问题,如防止SQL注入、XSS攻击等,并确保敏感信息(如密码)的安全存储与传输。

软考鸭
关注
专栏目录
Express Auth(权限管理)的设置 (一)
jamey8383的专栏
04-01 2318
1. npm i bcryptjs 主要方法如下 const password = 'Red12345!' const hashedPassword = await bcrypt.hash(password, 8) hash方法中设置8次权衡了安全与速度 const isMatch = await bcrypt.compare('red12345!', hashedPasswor...
使用NodeJs(Express)搞定用户注册、登录、授权
ccf19881030的专栏
02-15 1858
最近在学些NodeJs和Express框架开发后台接口,Express 是一个保持最小规模的灵活的 Node.js Web 应用程序开发框架,为 Web 和移动应用程序提供一组强大的功能。看到B站上全栈之巅-Node.js+Vue.js全栈开发深度爱好者和实践者,感觉博主的视频讲解得不错,其中看到一个视频是1小时搞定NodeJs(Express)的用户注册、登录和授权,介绍了在Express中怎么...
Express-Auth:使用PassportJS和MongoDB进行Express的用户授权
05-17
准快递应用程序,用于使用passport.js和mongodb进行用户身份验证。 主要是供将来使用的个人代码用作框架代码,但对所有人开放。
express-auth:我的身份验证应用
05-02
#弹性编码器身份验证站点 允许用户创建帐户并登录。 用户也可以在个人资料页面中上传一次文件。 使用者还可以写下评论,并以大拇指或大拇指朝下对该评论进行评分。 最后,用户可以删除评论。 ##这个怎么做的: 使用的技术: HTML,CSS,JavaScript,Node.jsExpress,并且已连接到MLab(mongoDB) 我通过首先创建一个mlab帐户并设置服务器来创建此存储库。 然后,我下载了诸如multer之类的一些节点模块来上传图像,然后又下载了我的护照和快递等框架。 最后,设置我的模板引擎,例如ejs。 服务器和路由后来被用来支持我的站点并将我连接到数据库。 然后我去测试,通过在node server.js上运行,确保一切正常。 优化: 如果我有更多时间,我会设计个人资料页面,使用户可以选择登录用户名,而不是使用电子邮件作为用户名。 我还将更改注册页面,使它具有关于
express-http-auth:express.js框架的http auth的简单实现
05-15
Express Http基本身份验证 安装 $ npm install express-http-auth 快速开始 每条路线授权 要获得“每条路由授权”,可以将该模块用作中间件。 检查信息由您决定。 var private = require('express-http-auth').realm('Private Area'); app.get('/private_area', private, function(req, res) { if (req.username == 'Foo' && req.password == 'Bar') { } else { res.send(403); } }); 为了避免重复,最好编写一个授权中间件。 var realm = require('express-http-auth').realm('Privat
express-auth:具有REST API身份验证Express和mongodb应用程序的样板
02-04
快速验证 具有REST API身份验证Express和mongodb应用程序的样板 产品特点 与 用法 安装依赖 $ npm install 使用以下变量添加.env文件 DB_CONNECT = # the address for your mongodb database TOKEN_SECRET = # random secret for jwt token SMTP_SERVER = # your smtp server address EMAIL = # your email PASSWORD = # your email password 运行开发服务器 $ npm run de
node-auth-api:使用ExpressJWT构建的基本身份验证API
05-08
使用ExpressJWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
express-jwt-auth:Express.js JWT身份验证
04-18
Express.js JSON Web令牌认证 RESTful API,具有使用Express.js和JWT的基于角色的身份验证。 特征 用户CRUD 用户认证 基于角色的身份验证中间件 要求 $ git clone https://github.com/GoldB/express-jwt-auth $ ...
auth-jwt:Node-Express 用户 Api 注册和身份验证模块,带有 json 网络令牌(无护照)
05-31
`auth-jwt`是一个专为Node.jsExpress框架设计的用户API注册和身份验证模块,它利用JSON Web Token(JWT)技术来实现这一目标,而不依赖于像Passport这样的第三方库。以下是关于这个模块及其相关知识点的详细说明。...
auth-api:使用JWT令牌Express API
03-07
**Express API 使用JWT令牌进行身份验证** 在现代Web应用程序中,安全性和用户认证是至关重要的。JSON Web Token(JWT)是一种流行的轻量级身份验证机制,它允许客户端和服务器之间安全地交换信息,而无需在每次...
express_authExpress-Auth的入门模板
03-04
快速认证 使用Passport + Flash消息+自定义中间件的Express身份验证模板 它包括什么 排序用户模型/迁移 PostgreSQL设置 护照和本地护照进行身份验证 使用户在页面之间登录的会话 闪现错误和成功的消息 用BCrypt散列的密码 EJS模板和EJS布局 用户模型 栏名 数据类型 笔记 ID 整数 串行主键,自动生成 姓名 细绳 必须提供 电子邮件 细绳 必须唯一/用于登录 密码 细绳 存储为哈希 createdAt 日期 自动产生 UpdatedAt 日期 自动产生 默认路线 方法 小路 地点 目的 得到 / server.js 主页 得到 / auth /登录 auth.js 登录表格 得到 / auth /注册 auth.js 注册表格 邮政 / auth /登录 auth.js 登录用户 邮政 / auth /注册 auth.js 创建用户
express-auth2:ExpressJS 的用户认证中间件
06-12
-auth2 ExpressJS 的用户身份验证中间件。 这是一个轻量级中间件,可为您的 Express 应用程序添加身份验证主要构建块。 设置 安装软件包。 npm instal -- save express - auth2 对于真实世界的身份验证(例如使用用户名和密码登录),您还需要 、 和 ,除非您的应用程序仅处理简单的基于令牌的身份验证(例如基本身份验证)。 继续将模块附加到 Express 应用程序。 var auth = require ( 'express-auth2' ) ; var app = express ( ) ; ... app . use ( bodyParser . json ( ) ) ; app . use ( bodyParser . urlencoded ( { extended : true } ) ) ; app . use (
tokenAuth:使用 Express.js 和 Jwt.io 进行基于令牌的安全身份验证的微服务
07-24
令牌验证 运行步骤: 从 git 克隆项目 要使用 docker 运行,您需要安装 docker 和 docker-compose 建立形象 docker-compose up --build 服务器必须在以下位置启动并运行: 建造 要在您的实例中进行稳定构建: ...
Express Auth(权限管理)的设置 (五) 隐藏私有数据
jamey8383的专栏
04-04 281
有两种方式,分手动和自动 1. 手动 修改返回 res 的数据,删除 user 中的私有数据 res.send({ user: user.getPublicProfile(), token }); userSchema.methods.getPublicProfile = function() { const user = this; const userObject = us...
Express Auth(权限管理)的设置 (四) 设置 logout router
jamey8383的专栏
04-03 501
1. 在 auth.js 中输出用于鉴权的 token req.token = token; req.user = user; 2. 在 user router 中添加 logout 和 logoutAll logout 是在 user 的 tokens array 中删除当前 token,当前 token 是从 auth.js 中间件传入的 logoutAll 是把 user 中...
Express Auth(权限管理)的设置 (二)
jamey8383的专栏
04-01 426
1. 使用 jwt 保存 token const jwt = require("jsonwebtoken"); 2. 在 userSchema 中创建methods, 不同于 statics 的是 methods 是用于 instance 的, statics 是用于 whole model 的。 使用普通函数不用箭头函数是因为要用 this。 jwt.sign() 接受 2 个参...
Express Auth(权限管理)的设置 (三) 设置中间件
jamey8383的专栏
04-01 1107
1. Without middleware: new request -> run route handler With middleware: new request -> do something -> run route handler 如下例子,中间件为一个箭头函数,在每次 request 的时候都会打印 method 和 path app.use((...
Express项目添加用户认证Auth中间件
最新发布
猿老七的博客
08-20 592
通常会使用JWT(JSON Web Tokens)或OAuth等技术。
SpringCloud分布式实战:Eureka、Feign、Zuul与Auth2.0+jwt整合解析
"SpringCloud分布式实战项目视频,涵盖了Eureka服务发现、Feign客户端调用、Zuul边缘服务、Config配置中心、Ribbon负载均衡、Hystrix熔断器技术,以及权限认证机制auth2.0+jwt和消息中间件rabbitMQ的应用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值