Node.js身份验证实践:Express-JWT和JSON Web Token的用法

最新推荐文章于 2024-05-24 23:20:46 发布
最新推荐文章于 2024-05-24 23:20:46 发布
阅读量3.1k 收藏 55
点赞数 51
分类专栏: 前端 npm包分享 nodejs 文章标签: node.js express 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64642443/article/details/135934803
版权
前端 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
nodejs
7 篇文章 0 订阅
订阅专栏
npm包分享
3 篇文章 0 订阅
订阅专栏

目录

🎉前言

🎉准备工作

🎉实现生成token

🎉配置token校验

🎉完成获取用户信息接口

🎉配置校验错误的中间件

🎉总结

🎉前言

在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwt和jsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。

token的作用

身份验证(Authentication):

  • 证明身份: Token 用于证明用户的身份。当用户通过用户名和密码进行登录后,服务器会颁发一个 Token 给客户端。客户端在后续的请求中携带这个 Token,服务器通过验证 Token 来确认用户的身份,而不需要再次提供用户名和密码。这种方式避免了在每个请求中传输敏感的用户名和密码。
  • 无状态性: Tokens 可以使系统实现无状态的身份验证,因为每次请求都包含了足够的信息(Token)来识别和验证用户,而不需要在服务器端保存用户的登录状态。

授权(Authorization):

  • 访问控制: Token 用于授权用户对特定资源的访问权限。服务器在验证用户身份后,生成包含权限信息的 Token,并将其返回给客户端。客户端在后续请求中携带 Token,服务器通过解析 Token 中的权限信息来确定用户是否被授权访问请求的资源。
  • 减轻服务器压力: 使用 Token 进行授权可以减轻服务器的负担,因为服务器无需在每个请求中都重新验证用户的身份和权限,而只需验证 Token 的有效性。

总的来说,Token在身份验证和授权方面提供了一种安全、高效的机制。通过使用 Token,可以实现无状态的身份验证、提高系统的安全性,同时减轻服务器的压力,提高系统的性能。

🎉准备工作

 构建express应用,安装需要用到的库

npm i express
npm i express-jwt
npm i jsonwebtoken

express-jwt 是用于在 Express 应用程序中验证 JSON Web Tokens (JWT) 的中间件。它可以帮助你确保只有经过身份验证的用户才能访问受保护的路由或资源。

jsonwebtoken 是用来生成客户端需要的token

搭建出基本的express应用

const express = require('express')
const app = express()


app.listen(3000, console.log('server is running on port 3000'))

只是做一个案例

可以新建这样的三个文件

config.js

module.exports = {
  jwtSecretKey: 'mima', // jwt加密的密钥
  expiresIn: '1h' // token过期时间
}

🎉实现生成token

首先看登录接口中生成token

const express = require('express')
const jwt = require('jsonwebtoken')
const config = require('./config')
//路由
const router = express.Router()

//路由中间件
router.get('/login', (req, res) => {
  //生成token
  const user = {
    id: '1',
    username: 'zhangsan',
    password: '123'
  }
  //这里的user对象会被传递给jwt.sign方法中,
  //生成的token中会包含id和username,password三个属性,后面不需要用户传入也能在token中获取到这些信息
  const token = jwt.sign(user, config.jwtSecretKey, {
    expiresIn: config.expiresIn
  })
  res.send({
    code: 200,
    msg: '登录成功',
    token: 'Bearer ' + token
  })
})

module.exports = router

注意这里的user对象一般情况下是从数据库拿来的,这里只是模拟一下,生成的token中会包含id和username,password三个属性,后面不需要用户传入也能在token中获取到这些信息,等会在获取用户信息的接口中会看到。

这里为什么要在生成的token前加上Bearer,Bearer 是一种身份验证方案类型(Authentication Scheme)。Bearer 作为一个字符串附加到 Token 前面,构成了一种规范的表示方式,即 Bearer Token。 即是一种统一的标准规范。

记住需要在app.js中注册路由

const loginRouter = require('./loginRouter')
app.use('/api', loginRouter)

我这里使用postman测试了

可以看到token已经生成了

🎉配置token校验

const express = require('express')
const app = express()
const expressJWT = require('express-jwt')
const config = require('./config')
//配置jwt中间件
app.use(expressJWT({ secret: config.jwtSecretKey }).unless({ path: [/^\/api/] }))
//unless({ path: [/^\/api/] }) 
//意思就是除了/api开头的请求都验证,其他请求都需要验证token
const loginRouter = require('./loginRouter')
app.use('/api', loginRouter)


app.listen(3000, console.log('server is running on port 3000'))

注意后面的unless,意思就是除了/api开头的请求都验证,其他请求都需要验证token。

这时候我们可以将/api改成其他的

这样登录接口就会出现问题,没有token会被拦截

 

 这时候我们就需要拿着之前生成的token填入到headers中,才能调用接口

🎉完成获取用户信息接口

const express = require('express')
const router = express.Router()

router.get('/getUser', (req, res) => {
  const { username, id, password } = req.user
  res.send({
    code: 200,
    msg: '获取用户成功',
    data: {
      username,
      id,
      password
    }
  })
})

module.exports = router

因为在生成token时,将user对象一起加进去了,所以在生成的token中会携带这些信息,我们可以在req.user中拿到这些信息。

记得在app.js中注册路由

const userRouter = require('./getUserRouter')
app.use('/user', userRouter)

测试接口

如果没有携带token,就会这样

在headers中携带token

🎉配置校验错误的中间件

如果没有携带token,或者是token过期了,我们都得将错误信息相应给客户端,而不是直接报错,这样会影响我们整个程序的运行。

//配置验证错误中间件
app.use(function (err, req, res, next) {
  console.log(err)
})

我们可以先测试二种情况得到的err有什么不一样

无效的token

token过期

如果想要简单点可以直接这样

app.use(function (err, req, res, next) {
  if (err.name === 'UnauthorizedError') {
    res.status(401).send(err.message)
  }
})

如果想要中文的相应可以这样

app.use(function (err, req, res, next) {
   if (err.name === 'UnauthorizedError' && err.message === 'invalid token') {
     res.status(401).send('无效的token')
   }
   if (err.name === 'UnauthorizedError' && err.message === 'jwt expired') {
     res.status(401).send('token过期')
   }
})

这样整个程序就不会被打断了

🎉总结

  1. JWT 的作用: JSON Web Token(JWT)在应用程序中充当了身份验证和授权的关键工具。它通过在生成的令牌中携带用户信息,实现了无状态的身份验证,避免了传输敏感信息,同时提高了应用的安全性。

  2. express-jwt 的核心功能: express-jwt 主要用于验证从客户端发送的包含 JWT 的请求头。它帮助我们确认用户的身份是否有效,并在认证成功后将用户信息附加到请求对象上,方便后续处理。

  3. 生成和使用 Token: 我们学习了如何使用 jsonwebtoken 库生成 JWT,并将其发送给客户端。客户端在后续请求中携带 Token,而服务器通过 express-jwt 验证 Token 的合法性,实现了用户的无缝身份认证。

  4. 授权机制: 除了认证外,express-jwt 还可用于实现基于角色或权限的授权。通过配置额外的中间件或在路由处理函数中进行检查,我们可以确保用户具有访问特定资源或执行特定操作的权限。

😊完整代码可以在主页资源中下载😊

Lee哈
关注
  • 51
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
express 里面前后端身份验证 JWT 认证总结
峰会路转的博客
04-09 868
我们在其他接口中解析客户端的token信息的时候,最新版的express-jwt有变化,需要使用req.auth来获取客户端的token,与较早版本的获取方式有差异,req.user,这里需要注意!由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。总结:用户信息通过 token 字符串的形式,保存在客户端浏览器中,在需要验证身份的接口中,服务端对请求中的头信息进行分析,还原 token 信息来进行身份认证。
Express框架实现JWT
Yusen2001的博客
07-08 1084
JWT JSON Web Token是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。   JWT由三部分组成 1.Header:由两部分组成:token的类型(“JWT”)和加密算法的名称(SHA256,RSA等)。 2.Payload:包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。简单来说就是存储在token中用户自定义的数据。 3.Signature:密钥。   Expres
Node.js —— 前后端的身份认证 之用 express 实现 JWT 身份认证
最新发布
迪幻的博客
05-24 1135
本文向大家解读了jwt的认证机制以及在Express框架下如何使用jwt认证
express中实现加密JWTJSON Web Token
u014713031的博客
06-27 2128
express中实现JWTJSON Web TokenJWTJSON Web TokenJWT数据结构JWT头有效荷载签名JWT工作过程express实现过程express部分前端部分JWT优缺点 JWTJSON Web TokenJWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。(json格式传tokenJWT的声明一般被用...
Express框架中JWT基础 - 对称|非对称加密
灵魂学者的博客
01-31 646
在本篇当中来进一步的讲解关于JWT的基础使用对称以及非对称加密;在上一篇内容当中已经使用过了JWT(JSONWebToken)做验证登录,采用的是对称加密的方式;
ExpressJWT(JSON Web Token)的使用
m0_59183852的博客
02-09 480
在其紧凑的形式中,JSON Web Tokens的三个部分组成,这三个部分用点(.)连接在一起就组成了JWT字符串,它们分别是:头部(Header)有效载荷(Playload)签名(Signature)因此,JWT看起来像如下形式的字符串:xxxx.yyyy.zzzz头部通常由两部分组成:令牌的类型,即JWT,以及所使用的签名算法,例如HMAC SHA256或RSA。如:然后,对这个JSON进行Base64Url编码,形成JWT的第一部分。令牌的第二部分是有效载荷,其中包含声明。声明是关于实体(通常是用户)
Express中使用Session认证和JWT
qq_52822043的博客
06-21 470
Express中使用JWT
快速入门:使用Express-JWTJSON Web Token保护你的Node.js应用
01-30
在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwtjsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。
nodejs-jwt-implementation:Node.js中的JSON Web令牌实现
03-07
JSON Web TokenJWT)是一种广泛使用的身份验证和授权机制,特别是在Web应用和API中。Node.js作为轻量级、高性能的JavaScript运行环境,是开发此类应用的理想选择。本篇文章将深入探讨如何在Node.js中实现JWT,以及...
auth-jwt:Node-Express 用户 Api 注册和身份验证模块,带有 json 网络令牌(无护照)
05-31
`auth-jwt`是一个专为Node.jsExpress框架设计的用户API注册和身份验证模块,它利用JSON Web TokenJWT)技术来实现这一目标,而不依赖于像Passport这样的第三方库。以下是关于这个模块及其相关知识点的详细说明。...
rest-api-nodejs-jwt-express-mysql:这是一个使用NodeJS,Express,MySQL并使用JSON-web-token作为身份验证的国家的小型REST Api
05-27
在这个项目中,我们探讨了一个基于Node.jsExpress、MySQL数据库,并使用JSON Web TokenJWT)进行身份验证的小型REST API的实现。以下是该项目涉及到的主要技术点和知识点: 1. **Node.js**: Node.js是一个开放...
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
node express jwt实现一个用户登录的校验以及权限拦截(用户认证与授权)服务端验证
node.js express JWT token生成与校验
SupperSA的博客
12-11 1443
JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp。2、在代码controller层引入依赖,在登录、注册的时候生成token。生成token的头信息,通常由两部分组成,包含。通过HMACSHA256加密算法生成的签名。
JSON Web Tokens(JWT
小卡拉米的博客
12-10 1091
JWT 即:JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT 常用于代替 Session,用于识别用户身份。
Express JWT(JSON Web Token)
雾里看花叹朦胧
11-14 249
NodeJS Express JSON Web Token /* 总体思路是: 1.login 成功之后,先获取一个token,然后保存起来,可以是 cookie,也可以是项目中的某个变更 //client: const jwt = require("./jwt/jtw"); $.post(url, data, function() { let us = $("#us"); const token = jwt.getAccessToken({us: us}); }); 2.后面每次请求,都需
最佳jwt详细教程
MX_YANG_的博客
10-13 963
先谈一谈为什么有Session认证机制还需要用到jwt认证机制。 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证 注意: 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制 前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制 jwt
node.jsexpresstoken验证
热门推荐
qq_39905409的博客
02-24 1万+
1、用jsonwebtoken生成token 2、用express-jwt验证token是否过期或失效 3、用jsonwebtoken解析出token中的用户信息,比如用户id 注意: 使用res.json()发送响应时,在此前加一个return,即return res.json(),类似res.send()等函数也要加return,而且是所有的地方都要加,即使是a请求的响应没加return,...
Express接口案例 使用jsonwebtoken
zep
08-04 821
一、jsonwebtoken的使用 jsonwebtoken官方文档 const jwt = require('jsonwebtoken') // 以同步的方式,生成jwt // const token = jwt.sign({ // foo: 'bar' // }, 'zepzepep') // 以异步的方式,生成jwt const token = jwt.sign({ foo: 'bar' }, 'zepzepep', (err, token) => { i
node.js搭建接口:Node-使用jwt实现token
qq_43115985的博客
12-07 381
token在计算机身份认证中是令牌(临时)的意思,代表执行某些操作的权利的对象。包括: 访问令牌(Access token)表示访问控制操作主体的系统对象; 密保令牌(Security token),或者硬件令牌,例如U盾,或者叫做认证令牌或者加密令牌,一种计算机身份校验的物理设备; 会话令牌(Session token),交互会话中唯一身份标识符; 令牌化技术 (Tokenization), 取代敏感信息条目的处理过程。 此次我们使用jsonwebtoken来实现token。首先我们来安装jsonwebt
node.js登录功能
08-17
对于Node.js的登录功能,你可以通过以下步骤来实现: 1. 创建一个登录表单:在前端页面上创建一个表单,包含用户名和密码输入框以及一个提交按钮。 2. 创建一个后端路由:使用Node.js的框架(如Express)创建一个后端路由,用于处理登录请求。这个路由应该监听POST请求。 3. 验证用户输入:在后端路由中,获取从前端表单提交的用户名和密码。对于安全性考虑,你可以使用密码哈希算法(如bcrypt)对密码进行加密存储,并将加密后的密码与数据库中的密码进行比较。 4. 进行身份验证:如果用户名和密码验证成功,可以生成一个JWTJSON Web Token),将用户的信息(如用户名、用户ID)加密到JWT中,并将JWT发送回前端作为认证凭据。 5. 设置认证中间件:在你的应用程序中设置一个认证中间件,用于验证每个请求的JWT是否有效。你可以在每个受保护的路由中使用这个中间件。 6. 保护受限资源:根据需要,你可以将某些路由设置为受限资源,只有经过身份验证的用户才能访问。 这只是一个基本的登录功能的实现方法。具体的实现细节可能会因你使用的框架和库而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lee哈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值