express 里面前后端身份验证 JWT 认证总结

最新推荐文章于 2024-05-24 23:20:46 发布
最新推荐文章于 2024-05-24 23:20:46 发布
阅读量868 收藏 13
点赞数 25
分类专栏: nodejs 文章标签: express
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27702739/article/details/137551049
版权
文章讨论了Session认证的跨域限制和JWT(JSONWebToken)作为跨域身份验证的替代方案。它详细介绍了JWT的工作原理、组成部分以及在实际项目中的使用方法,包括在Express框架中的集成和配置。
摘要由CSDN通过智能技术生成

session 认证的缺点

Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。
注意:
● 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制。
● 当前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JT 认证机制。

JWT 是什么

JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。

JWT 认证的工作原理

在这里插入图片描述

总结:用户信息通过 token 字符串的形式,保存在客户端浏览器中,在需要验证身份的接口中,服务端对请求中的头信息进行分析,还原 token 信息来进行身份认证

JWT 的组成部分

由三部分组成,分别是 Header(头部),Payload(有效载荷),Signature(签名),之间用.分割
其中:

  • Payload 部分才是真正的用户信息,"它是用户信息经过加密之后生成的字符串。
  • Header 和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性

JWT 使用方式

客户端收到服务器返回的 JT 之后,通常会将它储存在 localStorage 或 sessionStorage 中。此后,客户端每次与服务器通信,都要带上这个 JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中,格式如下:

Authrizatuion:Bearer <token>

相关依赖

npm i jsonwebtoken express-jwt

jsonwebtoken 用于生成JWT 字符串
express-jwt 用于将 JWT 字符串解析还原成 JSON 对象

"dependencies": {
    "body-parser": "^1.20.2",
    "cors": "^2.8.5",
    "ejs": "^3.1.9",
    "express": "^4.19.2",
    "express-jwt": "^8.4.1",
    "jsonwebtoken": "^9.0.2",
    "mysql": "^2.18.1"
}

实战代码

入口文件app.js

const express = require("express");
const userRouter = require("./router/user");
const bookRouter = require("./router/book");
const bodyParser = require("body-parser");
const path = require("path");
const cors = require("cors");
const app = express();
const { expressjwt } = require("express-jwt");
const jwtConfig = require("./config/index");

app.use(express.static("public"));
//ejs模版的必须配置
// app.set("view engine", "ejs");
// app.set("views", path.join(__dirname, "views"));
//解析请求体参数
app.use(bodyParser.json());
app.use(express.urlencoded({ extended: false }));
//jwt中间件
//安装的express-jwt模块会默认为最新版本,更新后的jwt需要在配置中加入algorithms属性,即设置jwt的算法。一般HS256为配置algorithms的默认值。
app.use(
  expressjwt({ secret: jwtConfig.jwtSecret, algorithms: ["HS256"] }).unless({
    path: [/^\/api\//],
  })
);

//跨域资源共享
app.use(cors());
app.use("/api", userRouter);
app.use("/book", bookRouter);

//错误级别的中间件
app.use((err, req, res, next) => {
  console.log("🚀 ~ app.use ~ err:", err);
  //token解析失败
  if (err.name === "UnauthorizedError") {
    return res.send({
      status: 401,
      message: "无效的token",
    });
  }
  res.send({
    status: 500,
    message: "服务端错误",
  });
});

app.listen(4444, () => {
  console.log("app is running on port 4444");
});

注意:

  • 最新版本的express-jwt这里需要结构 const { expressjwt } = require("express-jwt");
  • 配置项新增的参数algorithms:默认HS256即可,意思是除了以/api/开始的接口外,其余全部需要携带token发送请求
app.use(
  expressjwt({ secret: jwtConfig.jwtSecret, algorithms: ["HS256"] }).unless({
    path: [/^\/api\//],
  })
);

秘钥

const jwtSecret = "gaofeng.8866";
module.exports = {
  jwtSecret,
};

登录模块

const express = require("express");
const router = express.Router();
const jwt = require("jsonwebtoken");

const jwtConfig = require("../config/index");

router.post("/login", (req, res) => {
  const { username, password } = req.body;
  if (username != "admin" && password != "123456") {
    return res.send({
      status: 1,
      msg: "登录失败",
    });
  }
  //登录成功之后,生成jwt字符串,并通过token的形式返回给客户端
  //参数:用户的信息对象,加密的秘钥,配置的对象(当前token的有效期 30s | 2h)
  const token = jwt.sign({ username: username }, jwtConfig.jwtSecret, {
    expiresIn: "30s",
  });
  res.send({
    status: 0,
    msg: "登录成功",
    token,
  });
});

注意:

  • 登录成功之后,生成jwt字符串,并通过token的形式返回给客户端
  • 参数:用户的信息对象,加密的秘钥,配置的对象(当前token的有效期 30s | 2h)

测试验证

  • 不携带及过期token,都会被全局的错误中间件拦截,并返回定制的错误消息

在这里插入图片描述

  • 登录
    在这里插入图片描述
    这样就返回了token字符串

  • 再次发起预约接口

在这里插入图片描述
这样我们就实现了jwt身份鉴权验证

我们在其他接口中解析客户端的token信息的时候,最新版的express-jwt有变化,需要使用req.auth来获取客户端的token,与较早版本的获取方式有差异,req.user,这里需要注意!!!
在这里插入图片描述
到这里,关于jwt鉴权我们就算是完成了!!!_

风清云淡_A
关注
  • 25
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nodejs express-jwt 使用 解析token
wangjie33589的博客
04-08 2690
作用是什么 express-jwt是nodejs的一个中间件,他来验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router。 此模块允许您使用Node.js应用程序中的JWT令牌来验证HTTP请求。 JWT通常用于保护API端点。 express-jwt和jsonwebtoken是什么关系 express-jwt内部引用了jsonwebtoken,对其封装使用。 在实际的项目中这两个都需要引用,他们两个
【Node.js】Node.js入门(八):express-jwt
郭老二
11-03 2707
可以使用getToken选项指定从请求中提取令牌的自定义函数。客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再把这个token返回给客户端客户端收到token后可以把它存储起来,比如放到cookie中客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带。
Node.js —— 前后端的身份认证 之用 express 实现 JWT 身份认证
最新发布
迪幻的博客
05-24 1135
本文向大家解读了jwt认证机制以及在Express框架下如何使用jwt认证
Express中使用JWT
m0_63400611的博客
04-19 5504
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt 其中: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
十五、Express 中使用JWT进行登录验证
灵魂学者的博客
01-11 2116
JWT是目前最流行的跨域认证解决方案,将用户的信息进行验证,验证成功后会将用户信息进行加密,生成Token之后服务器将它响应给到客户端,客户端拿到这个Token之后将它保存起来,可保存在LocalStorage或SessionStorage中,那么在下次客户端再次发起请求之后,会再将未过期的Token发给服务器去还原验证,如果验证成功服务器会将请求相应的用户信息内容返回给客户端这样一个过程。
Express框架实现JWT
Yusen2001的博客
07-08 1084
JWT JSON Web Token是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。   JWT由三部分组成 1.Header:由两部分组成:token的类型(“JWT”)和加密算法的名称(SHA256,RSA等)。 2.Payload:包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。简单来说就是存储在token中用户自定义的数据。 3.Signature:密钥。   Expres
Express框架开发接口之JWT鉴权机制
m0_52704461的博客
11-01 247
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。⚫ 日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。⚫ 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。2不同开发模式下的身份认证对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案:① 服务端渲染推荐使用 Session 认证机制。
jwt 前后端项目.zip
03-03
JWT 在现代Web应用中广泛用于身份验证和授权,尤其是在前后端分离的架构中。 在"jwt 前后端项目.zip"中,我们可能找到的是一个使用JWT进行身份验证的示例项目。JWT-Demo-Master很可能是一个包含前端和后端代码的...
node-mini-auth:使用带有Express,Mongo的Cookie的JWT身份验证示例
04-18
**标题解析:** "node-mini-auth" 是一个...这个项目是一个全面的示例,涵盖了从用户认证到数据存储再到前后端通信的多个关键概念,对于学习和理解Node.js、Express、MongoDB以及JWT身份验证的实践应用非常有价值。
vue+express+jwt持久化登录的方法
10-16
这种机制尤其适用于前后端分离的应用架构,例如Vue.js作为前端框架和Express.js作为后端服务器。 首先,让我们详细了解一下前端部分。在Vue.js中,通常使用Vuex管理状态,包括用户的登录状态和JWT令牌。在Vue组件中...
云E办前后端完整代码和开发文档
03-20
- **登录模块**: 用户认证,通常涉及密码加密存储和验证,可能包含OAuth或JWT(JSON Web Tokens)进行身份验证。 - **职位管理**: 创建、修改、删除职位信息,可能涉及到权限控制。 - **职称管理**: 管理员工的...
react-express-jwt
04-29
标题 "react-express-jwt" 涉及到的是一个基于React、Express和JSON Web Tokens (JWT)构建的服务器端项目。这个项目主要是为了演示如何在Node....这将帮助你理解前后端分离、身份验证以及数据库操作等核心Web开发概念。
Express框架中JWT基础 - 对称|非对称加密
灵魂学者的博客
01-31 646
在本篇当中来进一步的讲解关于JWT的基础使用对称以及非对称加密;在上一篇内容当中已经使用过了JWT(JSONWebToken)做验证登录,采用的是对称加密的方式;
node.js express JWT token生成与校验
SupperSA的博客
12-11 1443
JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp。2、在代码controller层引入依赖,在登录、注册的时候生成token。生成token的头信息,通常由两部分组成,包含。通过HMACSHA256加密算法生成的签名。
【Node.js】jwt (jsonwebtoken)
小秀的博客
10-16 682
JWT(JSON Web Token)是一种用于实现身份验证和授权的开放标准。它是一种基于JSON的安全传输数据的方式,由三部分组成:头部、载荷和签名。
jsonwebtoken express-jwt学习
qq_60976312的博客
03-15 1012
jsonwebtoken express-jwt
Express中使用Session认证JWT
qq_52822043的博客
06-21 470
Express中使用JWT
nodejs express中使用token验证机制
small_white_123的博客
11-21 2614
token身份认证基本概念了解Session认证的局限性什么是tokenjwt的原理jwt的组成JWT的三个部分各自代表的含义jwt的使用方式在express中使用jwt定义secret密钥在登录成功后生成 JWT 字符串解析 JWT字符串 还原为JSON对象使用req.user 获取用户信息错误中间件前端如何使用token 基本概念 了解Session认证的局限性 Session 认证机制需要配合Cookie才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做
jwtexpress中的使用方法
badoldboy的博客
11-29 3779
关于JWT的具体介绍大家可以去看 阮一峰 JSON Web Token 入门教程 本文主要介绍jwtexpress中的使用方法: 1、安装依赖 jsonwebtoken 主要用来生成JSON Web Token npm install jsonwebtoken express-jwt 主要用来验证JSON Web Token npm install express-jwt crypto 用来对数据进行加密 npm install crypto 2、生成Token 用户登录成功后产生Token。
springboot jwt token前后端分离_前后端分离之JWT用户认证
05-20
JWT(JSON Web Token)是一种基于 JSON 的安全令牌,它可以在客户端和服务器之间安全传输信息。在前后端分离的项目中,使用 JWT 进行用户认证可以方便地处理用户登录和权限控制。 以下是使用 Spring Boot 和 JWT 实现前后端分离的用户认证示例: 1. 添加依赖 在 pom.xml 中添加以下依赖: ```xml <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建 JWT 工具类 创建一个 JWT 工具类,用于生成和验证 JWT。以下是一个简单的实现: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", username); claims.put("iat", new Date()); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } catch (Exception e) { return null; } } public boolean validateToken(String token, String username) { String tokenUsername = getUsernameFromToken(token); return tokenUsername != null && tokenUsername.equals(username); } } ``` 3. 创建登录接口 创建一个登录接口,用于验证用户的用户名和密码,并返回 JWT: ```java @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateToken(authentication.getName()); return ResponseEntity.ok(new JwtResponse(jwt)); } ``` 4. 创建受保护的接口 创建一个受保护的接口,需要用户在请求头中传递 JWT。在该接口中,首先验证 JWT 是否有效,然后根据用户角色返回相应的数据: ```java @GetMapping("/data") @PreAuthorize("hasAnyRole('USER', 'ADMIN')") public ResponseEntity<?> getData() { String username = SecurityContextHolder.getContext().getAuthentication().getName(); if (jwtUtils.validateToken(jwt, username)) { // 返回数据 } else { throw new BadCredentialsException("Invalid JWT"); } } ``` 5. 配置 JWT 相关属性 在 application.properties 中配置 JWT 相关属性: ``` jwt.secret=mySecret jwt.expiration=86400000 # 1 day in milliseconds ``` 以上就是使用 Spring Boot 和 JWT 实现前后端分离的用户认证的示例。需要注意的是,JWT 本身并没有提供加密功能,因此需要使用一个密钥来保证 JWT 的安全性。在示例中,密钥存储在配置文件中,实际生产环境中应该使用更加安全的方式来存储密钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值