Day17-Node后端身份认证-JWT

最新推荐文章于 2024-11-02 12:42:04 发布
最新推荐文章于 2024-11-02 12:42:04 发布
阅读量673 收藏
点赞数
分类专栏: 前端2 文章标签: es6 ecmascript javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33396183/article/details/132405890
版权
本文介绍了使用Node.js进行后端开发时的身份验证过程,包括MD5和SHA1密码加密,以及JWT(JsonWebToken)的使用,涉及生成和验证token的方法,以及在Express应用中的实现步骤。
摘要由CSDN通过智能技术生成

Day17-Node后端身份验证

一 密码加密

1 MD5加密

  • 创建MD5.js
//node提供了一个内置模块crypto用于密码加密
const crypto = require("crypto")

module.exports.getMd5 = function(password){
    const md5 = crypto.createHash("md5")
    return md5.update(password).digest("hex")
}

2 SHA1加密

3 对称加密

image-20230213160143422

二 JWT身份认证流程

1 简介

JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io

2 数据格式

JWT包含三部分数据:

Header:头部,通常头部有两部分信息:
    - 声明类型type,这里是JWT
    - 加密算法sal,自定义

我们会对头部进行base64加密(可解密),得到第一部分数据

Payload:载荷,就是有效数据,一般包含下面信息:
  - 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息)
  - 注册声明:如token的签发时间,过期时间,签发人等

这部分也会采用base64加密,得到第二部分数据

Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥(secret),通过加密算法生成。用于验证整个数据完整和可靠性

image-20230213182424505

3 JWT身份认证流程

image-20230213180830513

三 搭建JWT身份认证环境

1 下载jwt依赖

npm i jsonwebtoken  //生成token
npm i express-jwt   //验证token

2 生成token

在UserController里面加入代码

    /**
     * 登录
     * request
     * response
     */
    async login(req,res){
        //获取前端请求的数据
        let {username,password} = req.body
        //md5加密
        password = getMd5(password)
        //查询数据库,结果是数组
        const result = await userModel.find({username,password})
        if(result.length > 0){
            const {_id,icon,username} = result[0]
            //生成token令牌
            // 第一个参数:用户信息
            // 第二个参数:screct密钥
            // 设置过期时间,以s作为单位
            const token = jwt.sign({_id},"woniu",{expiresIn:600})
            console.log(token);
            res.send({code:200,msg:"登录成功",data:token})
        }else{
            res.send({code:500,msg:"账号或密码错误"})
        }
    }

3 验证token

image-20230615181425670

(1)在utils文件夹下面创建jwt.js文件

const {expressjwt} = require("express-jwt")

const jwtAuth = expressjwt({
    secret:"woniu",//加密的秘钥
    algorithms:["HS256"], //采用HS256加密算法
    credentialsRequired:true //不管有没有携带token都需要验证
}).unless({
    //设置白名单
    path:["/users/login","/users/register",/\/movies\/.*/,/\/opera\/.*/]
})

module.exports = jwtAuth

(2)在app.js中引入jwt.js并加载组件

//引入jwt认证代码
const jwtAuth = require("./utils/jwt")

//在加载路由前,先验证token
app.use(jwtAuth)

(3)处理后端401身份认证失败的报错

// error handler
app.use(function(err, req, res, next) {
  console.log(err.inner);
  if(err.name == "UnauthorizedError"){//身份认证失败
    res.status(401).json({
      msg:"身份认证失败",
      data:err.inner
    })
  }else{
    // set locals, only providing error in development
    res.locals.message = err.message;
    res.locals.error = req.app.get('env') === 'development' ? err : {};

    // render the error page
    res.status(err.status || 500);
    res.render('error');
  }

});

4 解析token获取载荷信息

    /**
     * 创建订单
     */
    async createOrder(req,res){
        //从请求对象中拿到token
        const token = req.get("Authorization").split(" ")[1]
        console.log(token);
        /**
         * 解码token
         * 参数一:token
         * 参数二:秘钥
         */
        const verifyToken = jwt.verify(token,"woniu")
        //从解码的token中拿到用户id
        const userId = verifyToken._id

        const {movieId,opearId,seats} = req.body
        const code = Math.floor(Math.random()*900000+100000)//兑换码
        const orderNo = new Date().getTime()
        const time = new Date().toLocaleString()
        await orderModel.create({
            code,
            movieId,
            opearId,
            orderNo,
            seats,
            state:1,
            time,
            userId
        })
        res.send({code:200,msg:"订单创建成功"})
    }

image-20230615180544132

金霖海
关注
专栏目录
node.js -- 身份认证
郊眠寺
06-06 381
–今天的第一个内容说一下web开发模式,今天基本就是讲一个身份认证的内容,我们的web开发模式呢分为两种,一种是服务器渲染模式,就是通过服务器进行一个字符串拼接,将html页面拼接出来,然后直接返回给客户端,这样一来就不需要我们的ajax了,直接给客户端就可以了,他的优点呢就是前端耗时少,毕竟都给服务器做了还有前端什么事,还有他也有利于seo优化,他的缺点就是占用服务器资源,而且不利于前后端分离开发效率低。第二个模式:前后端分离的模式,它是依赖于ajax的一个广泛应用,后端负责编写api接口,前端就负责调用
Node.js学习-day9-开发者模式
huangxunlove的博客
02-28 593
web开发者模式 主要分为两种: 服务器端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接、动态生成的,因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。 前后端分离的概念:前后端分离的开发者模式,依赖于Ajax技术的广泛应用。简而言之,前后端分离的Web开发模式,就是后端只负责提供API接口,前端使用Ajax调用接口的开发者模式。 服务器端渲染:身份认证推荐使用Session认证机制 前后端分离:身份认证推荐使用JWT认证机制 Session认证机制 1、HTTP协议的无
day5-node.js
Gin_hh的博客
09-12 113
node.js基础学习笔记day5
node.js中使用express-jwt时出现“algorithms should be set“的错误
Concise200的博客
03-05 637
在写项目时,使用到了express-jwt第三方模块,代码如下, expressJWT({ secret:key.secretKey}) 然后就报了如下错误, 查阅了npm官网后,才知道最新版本的使用不仅要使用参数secret,还需要参数algorithms。当提供第三方库作为机密时,需要使用algorithms算法参数来防止潜在的降级攻击。 注意:不要混合使用对称算法和非对称算法(即HS256/RS256):混合使用算法而没有进一步验证可能会导致降级漏洞。 jwt({ secret: 'shh
day01-乐优商城项目搭建
qq_41642640的博客
06-20 590
0.学习目标 了解电商行业 了解乐优商城项目结构 能独立搭建项目基本框架 能参考使用ES6的新语法 1.了解电商行业 学习电商项目,自然要先了解这个行业,所以我们首先来聊聊电商行业 1.1.项目分类 主要从需求方、盈利模式、技术侧重点这三个方面来看它们的不同 1.1.1.传统项目 各种企业里面用的管理系统(ERP、HR、OA、CRM、物流管理系统。。。。。。。) 需求方:公司、企业内部 盈利...
Token - 服务端身份验证的流行方案
u012138854的博客
01-21 1530
简述: 需要一个secret(随机数) 后端利用secret和加密算法(如:HMAC-SHA256)对payload(如账号密码)生成一个字符串(token),返回前端 前端每次request在header中带上token 后端用同样的算法解密 身份认证 服务端提供资源给客户端,但是某些资源是有条件的。所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者。 token是一种身份验证的机制,初始时用户提交账号数据给服务端,服务端采用一定的策略生成一个字符串(token),token字
day6 Session和JWT身份认证
我要记录学习博客
10-04 154
后端身份认证 1、web 开发模式 服务器渲染的 web 开发模式 服务器渲染的概念:服务器发送给客户端的 html 页面,是服务器通过字符串的拼接,动态生成的,因此客户端不需要使用 Ajax 这样的技术额外请求页面的数据 案例常见 node.js 写的代码 服务器渲染的优缺点 优点: 抢前端耗时少 有利于SEO 缺点: 占用服务器端资源 不利于前后端分离,开发效率低 前后端分离的 web 开发模式 前后端分离的概念:前后端分离的开发模式,依赖于 Ajax 技术的广泛应用,就是后端
SpringBoot项目-今日指数-day01-项目介绍
theSpectre22的博客
11-16 394
项目介绍:今日指数是一款基于股票交易实时产生的数据分析产品,旨在为特定用户和机构提供定制化的股票数据分析和展示服务。项目亮点:今日指数可以为用户提供个性化股票实施查询,用户可以只关注自己的股市数据,更方便的查询想要的数据。:::info股票采集系统核心功能是周期性采集股票数据,并刷入数据库;借助xxljob提供完善的任务监控机制;国内指数服务主要统计国内大盘实时数据信息;板块分析服务主要统计国内各大行业板块行情数据信息;涨幅榜展示功能根据个股涨幅排序,提供热点股票数据展示;
express+jwt实现token验证
qq_40026070的博客
06-19 2659
由于面试了前端,但是我简历上写着我会后端所以被问到了token验证这个问题,但是我自己的项目是没有用到的,他问了我jwt的组成结构什么的。。我当然是一问三不知啦,所以回来之后就自己额外做了一下这个token验证。 组成 jwt主要有三部分组成 header,主要就是存放了你的token类型和你的加密方式。 playload,一般有签发人,签发时间,过期时间,编号等,这部分是可以添加自己的一些数据进去。 signature,要生成这个是需要以上两个字段的,还需要一个密钥,这是只有服务端才知道的一个密钥,生成
day08-day10-智慧商城项目.zip
11-01
5. **用户认证与授权**:使用OAuth2.0、JWT(JSON Web Tokens)等机制进行用户身份验证,实现安全登录。同时,通过角色权限管理,控制不同用户对资源的访问权限。 6. **支付集成**:智慧商城可能接入第三方支付平台...
work-day-APIS
05-01
9. **身份验证与授权**:考虑到用户可能需要保存个人数据,"work-day-APIS"可能包含用户认证系统,确保只有合法用户能访问和修改他们自己的数据。这可能通过OAuth2、JWT(JSON Web Tokens)等方式实现。 10. **测试...
catch-of-the-day
05-14
在这个"catch-of-the-day"应用中,用户可以使用OAuth进行身份验证,这通常涉及与第三方服务(如Google或Facebook)的集成,以便安全地进行登录和下单。 项目的后端可能采用了某种服务器技术和数据库来处理数据交互...
毕设-->传说中的展览厅预约系统,node.zip
12-27
6. **身份验证与授权**: 用户预约展览厅可能需要登录,因此系统可能实现了JWT(JSON Web Tokens)或OAuth等身份验证机制,以及角色权限管理,确保安全。 7. **日期和时间处理**: 预约系统需要处理日期和时间,可能...
JavaScriptES6 高频重点面试题
AgostoDu的博客
10-30 1215
JavaScriptES6 高频重点面试题Web 前端重点面试题汇总了 2023 年各互联网大厂以及中小型创业公司 JavaScript+ES6 相关的最新高频面试题。
CesiumJS 案例 P12:添加指定长宽的图片图层并居中显示(圆点分别为图片图层的中心点、左上角顶点、右上角顶点、左下角顶点、右下角顶点)
weixin_52173250的博客
10-30 1128
CesiumJS 案例 P12:添加指定长宽的图片图层并居中显示(圆点分别为图片图层的中心点、左上角顶点、右上角顶点、左下角顶点、右下角顶点)
JavaScript 生成二维码
最新发布
qq_30049249的博客
11-02 120
我试过了,这一款js库支持中英文混合。进入网站后,可以直接点击运行哟~
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1367
项目功能:商品分类,商品信息,用户。
JavaScript中this的指向和改变this指向的方法 - 2024最新版前端秋招面试短期突击面试题【100道】
everfoot的博客
10-29 680
了解this的工作原理是掌握JavaScript的关键之一,特别是在编写复杂的应用程序时。正确使用this可以避免许多常见的问题和错误。在实际开发中,合理选择不同的绑定方法,可以让你的代码更加灵活和易于维护。掌握这些this的知识点将帮助你在前端面试中脱颖而出!祝你顺利上岸!
echarts 遍历多个图表,并添加resize缩放
licongmingli的博客
10-30 224
遍历echarst多个图表,并添加独立的缩放函数
Go-JWT-RESTful身份认证教程详解及实战应用
这使得前端应用程序能够访问用户的认证信息,但在实际开发中,后端服务器应该优先处理并验证JWT,以减轻前端的负担,提高安全性。 5. **性能优化与安全性考虑** JWT的大小与payload字段的数量成正比,过多的字段会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值