nodejs express-jwt使用

最新推荐文章于 2024-05-24 23:20:46 发布
最新推荐文章于 2024-05-24 23:20:46 发布
阅读量3.6k 收藏 7
点赞数 1
分类专栏: # nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36850813/article/details/90636061
版权

作用是什么

express-jwt是nodejs的一个中间件,他来验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router。 此模块允许您使用Node.js应用程序中的JWT令牌来验证HTTP请求。 JWT通常用于保护API端点。

express-jwt和jsonwebtoken是什么关系


express-jwt内部引用了jsonwebtoken,对其封装使用。 在实际的项目中这两个都需要引用,他们两个的定位不一样。jsonwebtoken是用来生成token给客户端的,express-jwt是用来验证token的。

如何使用


安装

npm install express-jwt
const expressJwt = require('express-jwt');
const app=require('./common');


let jwt = () => {
    const cert = app.fs.readFileSync(app.path.join(__dirname, '../config/jwt', 'ec_public_key.pem'));// 公钥
    return expressJwt({
        secret: cert,
        getToken: function fromHeaderOrQuerystring (req) {
            if (req.headers.authorization) {
                return req.headers.authorization;
            } else if (req.query && req.query.token) {
                return req.query.token;
            }

            return null;
        },
        requestProperty: 'auth',
    }).unless({
        path: [
            { url: '/user/login', methods: ['POST'] },
        ]
    })

};

module.exports = jwt;

校验token失败时的处理

let errorHandler = (err, req, res, next) => {
    console.log(err);
    let error = {
        code: "",
        message: ""
    };

    if (typeof (err) === 'string') {
        error.code = "10009";
        error.message = err;
        return res.status(400).json(error);
    }

    if (err.name === 'UnauthorizedError') {
        error.code = "401";
        error.message = "Invalid Token";
        return res.status(401).json(error);
    }

    // default to 500 server error
    error.code = "500";
    error.message = "Internal Server Error";
    return res.status(500).json(error);
};

module.exports=errorHandler;

token过期时的err值:

{
    "name": "UnauthorizedError",
    "message": "jwt expired",
    "code": "invalid_token",
    "status": 401,
    "inner": {
        "name": "TokenExpiredError",
        "message": "jwt expired",
        "expiredAt": "2017-08-03T10:08:44.000Z"
    }
}

token无效时的err值:

{
    "name": "UnauthorizedError",
    "message": "invalid signature",
    "code": "invalid_token",
    "status": 401,
    "inner": {
        "name": "JsonWebTokenError",
        "message": "invalid signature"
    }
}

后续

客户端携带token正确的姿势

放到 authorization 这个header里, 对应的值以Bearer开头然后空一格

authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE

为什么会这样携带token,请看express-jwt源码里是如何获取token的:

//1 从options中获取token  这个忽略  因为 在设置 需要保护的API 时 并没有传递 getToken 这个方法
 if (options.getToken && typeof options.getToken === 'function') {
      try {
        token = options.getToken(req);
      } catch (e) {
        return next(e);
      }
      //2 从authorization中获取token
    } else if (req.headers && req.headers.authorization) {
      // --这是关键代码-----开始切割--------->
      var parts = req.headers.authorization.split(' '); 
      if (parts.length == 2) {
        var scheme = parts[0];
        var credentials = parts[1];

        if (/^Bearer$/i.test(scheme)) {
          token = credentials; // <-------最终获取到token---------          
        } else {
          if (credentialsRequired) {
            return next(new UnauthorizedError('credentials_bad_scheme', { message: 'Format is Authorization: Bearer [token]' }));
          } else {
            return next();
          }
        }
        //3 以上两个途径都没有token时 就报错呗
      } else {
        return next(new UnauthorizedError('credentials_bad_format', { message: 'Format is Authorization: Bearer [token]' }));
      }
    }

express-jwt 作为中间件都做了什么

总体流程:

源码赏析():

var middleware = function(req, res, next) {
    var token;
    // 1 请求method为 options时的处理
    if (req.method === 'OPTIONS' && req.headers.hasOwnProperty('access-control-request-headers')) {
      var hasAuthInAccessControl = !!~req.headers['access-control-request-headers']
                                    .split(',').map(function (header) {
                                      return header.trim();
                                    }).indexOf('authorization');

      if (hasAuthInAccessControl) {
        return next();
      }
    }
  //2  获取token(上面已经解释过了)
    if (options.getToken && typeof options.getToken === 'function') {
      try {
        token = options.getToken(req);
      } catch (e) {
        return next(e);
      }
    } else if (req.headers && req.headers.authorization) {
      var parts = req.headers.authorization.split(' ');
      if (parts.length == 2) {
        var scheme = parts[0];
        var credentials = parts[1];

        if (/^Bearer$/i.test(scheme)) {
          token = credentials;
        } else {
          if (credentialsRequired) {
            return next(new UnauthorizedError('credentials_bad_scheme', { message: 'Format is Authorization: Bearer [token]' }));
          } else {
            return next();
          }
        }
      } else {
        return next(new UnauthorizedError('credentials_bad_format', { message: 'Format is Authorization: Bearer [token]' }));
      }
    }

    if (!token) {
      if (credentialsRequired) {
        return next(new UnauthorizedError('credentials_required', { message: 'No authorization token was found' }));
      } else {
        return next();
      }
    }

 // 3 解码 token
    var dtoken;
    try {
      dtoken = jwt.decode(token, { complete: true }) || {};
    } catch (err) {
      return next(new UnauthorizedError('invalid_token', err));
    }

// 4 依次执行下面操作
    async.waterfall([
     // 获取我们传递 secret
      function getSecret(callback){
        var arity = secretCallback.length;
        if (arity == 4) {
          secretCallback(req, dtoken.header, dtoken.payload, callback);
        } else { // arity == 3
          secretCallback(req, dtoken.payload, callback);
        }
      },
      // 用secret验证token  这段代码是不是很熟悉  没错 就是调用了jsonwebtoken验证token的方法 
      function verifyToken(secret, callback) {
        jwt.verify(token, secret, options, function(err, decoded) {
          if (err) {
            callback(new UnauthorizedError('invalid_token', err));
          } else {
            callback(null, decoded);
          }
        });
      },
      // 检查token 是否被注销了  这个是express-jwt的功能
      function checkRevoked(decoded, callback) {
        isRevokedCallback(req, dtoken.payload, function (err, revoked) {
          if (err) {
            callback(err);
          }
          else if (revoked) {
            callback(new UnauthorizedError('revoked_token', {message: 'The token has been revoked.'}));
          } else {
            callback(null, decoded);
          }
        });
      }
// 最终的结果汇集到这里了 
    ], function (err, result){
      if (err) { return next(err); }  // 有错误 直接就返回了
      if (_resultProperty) {
        set(res, _resultProperty, result);
      } else {
        set(req, _requestProperty, result);
      }
      next();  // 没问题  就流转到对应的url 逻辑操作里面
    });
  };

express-jwt 与jsonwebtoken

express-jwt是对jsonwebtoken进行了封装,在验证策略方面做了很多扩展,具体扩展请看这里。如果你的验证策略很简单,使用jsonwebtoken就足够了,如下面事例:

// 自定义 验证策略 中间件
app.use(function(req, res, next) {
// 定义 不用token 的api
    if (req.originalUrl.indexOf('/getToken') >= 0) {
        return next();
    }
//定义 用token的api  对其验证
     var token = rq.body.token || rq.query.token || rq.headers["x-access-token"];
    jwt.verify(token, "secretOrPrivateKey", function(err, decoded) {
        if (err) {
            // 返回错误信息
            res.send({
                success: false,
                message: 'Failed to authenticate token. Make sure to include the ' +
                    'token returned from /users call in the authorization header ' +
                    ' as a Bearer token'
            });
            return;
        } else {
            // 解析必要的数据(相应字段为定义token时的字段)
            req.username = decoded.username;
            req.orgname = decoded.orgName;
            logger.debug(util.format('Decoded from JWT token: username - %s, orgname - %s', decoded.username, decoded.orgName));
            // 跳出中间件
            return next();
        }
    });
});

 

NPException
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js + Express-jwt实现接口认证
huangdj321的博客
03-17 1194
一、简介 本次教程是基于之前的扫码购物项目的后台,实现后台登录注册接口认证。 二、实战步骤 1、创建数据表(Users) 注:Windows电脑自行手动创建,并添加数据 sequelize model:generate --name User --attributes username:string,password:string,openid:string,admin:boolean seq...
Node.jsNode.js入门(八):express-jwt
郭老二
11-03 2680
可以使用getToken选项指定从请求中提取令牌的自定义函数。客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再把这个token返回给客户端客户端收到token后可以把它存储起来,比如放到cookie中客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带。
Node.js —— 前后端的身份认证 之用 express 实现 JWT 身份认证
最新发布
迪幻的博客
05-24 1052
本文向大家解读了jwt的认证机制以及在Express框架下如何使用jwt认证
Nodejs+Express项目使用JWT
hanq2016的博客
03-06 614
1、安装jsonwebtoken npm i jsonwebtoken -S 2、创建jwt.js文件 let jwt = require('jsonwebtoken') const key = 'web26-jwt' // 产生token方法 function sign() { // 载体 let payload = { data: '95243611@qq.com' } // 密钥 let secretOrPrivateKey = key // 配置,1天有效期 l
最新:node使用 express jwt 实现token登录校验
02-01 340
最新:node使用 express jwt 实现token登录验证
asyncjs,waterfall的使用
weixin_30814319的博客
07-05 282
waterfall waterfall(tasks, [callback]) (多个函数依次执行,且前一个的输出为后一个的输入) 按顺序依次执行多个函数。每一个函数产生的值,都将传给下一个函数。如果中途出错,后面的函数将不会被执行。错误信息以及之前产生的结果,将传给waterfall最终的callback。 对于学过了js回调机制的小伙伴,waterfall是比较容易理解的,个人的理解就是,wat...
nodejs使用express-jwt发现请求通过了但是请求下面的图片访问却需要携带token的解决办法。No authorization token was found
CHENC0518的博客
03-16 3643
今天在使用登录生成token,后端使用express-jwt解析token时,发现已经使用unless取消了获取图片列表的请求。但是,浏览器在请求到图片后,任然不能将图片地址显示在界面上。 找遍了网上,没找到可以解决的办法,所以写下这个方法,希望可以帮助到你。 1.首先,我们需要下载express-unless中间件 npm i express-unless --save 2.然后根据npm中express-unless在app.js中做如下配置 const multer = require(
nodejs-express-jwt:具有JWT身份验证并支持MySQL和PostgreSQLNode.js Express REST API样板
04-30
nodejs-express-jwt 具有JWT身份验证并支持MySQL和PostgreSQLExpress REST API Boilerplate。 通过编译; 通过身份验证; 通过; development , testing和production 。 目录 执照 版本通知 自2018年首次发布...
node-express-jwt-auth:这是一个用于学习目的的nodejsexpress js jwt认证站点
05-10
· 这是一个用于学习目的的nodejsexpress js jwt身份验证站点。... 您也可以直接指向此链接: https://jwt-auth-arif.herokuapp.com : https://jwt-auth-arif.herokuapp.com 屏幕截图 家 登录 项目
nodejs-auth-jwt:使用JWT进行节点身份验证
05-16
nodejs Express JWT 使用JWT登录应用程序示例 运行项目: $ npm init $ npm install $ sudo npm install -g nodemon $ nodemon API路线: get: /api post: /api/posts post: /api/login post: /api/posts Header:...
rest-api-nodejs-jwt-express-mysql:这是一个使用NodeJSExpress,MySQL并使用JSON-web-token作为身份验证的国家的小型REST Api
05-27
项目文件"rest-api-nodejs-jwt-express-mysql-main"很可能是项目的根目录,其中包含了项目的所有源代码文件,如服务器配置、路由定义、数据库连接、模型定义、中间件实现等。通过这个项目,开发者可以学习如何构建一...
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
node express jwt实现一个用户登录的校验以及权限拦截(用户认证与授权)服务端验证
express-jwt-auth:Express.js JWT身份验证
04-18
Express.js JSON Web令牌认证 RESTful API,具有使用Express.js和JWT的基于角色的身份验证。 特征 用户CRUD 用户认证 基于角色的身份验证中间件 要求 $ git clone https://github.com/GoldB/express-jwt-auth $ cd express-jwt-auth $ npm install $ npm run start 技术领域 作者 布鲁诺·亨里克·德拉·伯纳达·希尔格伯格。 cadernetinhacheia@gmail.com
nodejs-restful-jwt
05-08
在这个"nodejs-restful-jwt"项目中,开发者可能使用了以下技术栈: 1. **Express框架**:ExpressNode.js中最流行的Web应用框架,它简化了路由、中间件和HTTP服务器的创建。 2. **JWT库**:例如`jsonwebtoken`,...
axios请求接口数据时报错:code: 401, message: “暂未登录或token已经过期“
热门推荐
qq_42767647的博客
07-16 1万+
错误截图: 现象:刚登录进去请求数据,就说过期,在网上找了很多解决方法,都不适用我。网上大多是回到登录页面,重新获取新的token,报401的错误是token时间过久,失效了。但我这情况是刚登录进去就说过期了,经过一一排查,我发现是我打错了。 解决: 经过使用浏览器的开发者工具,发现Authorization多了个$符号,于是我发现是我代码打多了。 改正前: 改正后: 没有报错了: ...
nodejs jwt java_NodeJs使用jwt生成token以及使用express-jwt校验和解密token
weixin_30744613的博客
02-27 794
/注:校验token,获取headers⾥里里的Authorization的token方法,要写在路由加载之前,静态资源之后app.use(expressJWT({secret: PRIVATE_KEY}).unless({path: ['/api/user/register','/api/user/login'] //⽩白名单,除了了这⾥里里写的地址,其他的URL都需要验证}));一、生成tok...
Nodejs -- 一文学会如何在Express使用JWT(json web token)
Qlz的博客
11-29 823
Express使用JWT 1 安装JWT相关的包 2 导入JWT相关的包 3 定义secret密钥 4 在登录成功后生成JWT字符串 5 将JWT字符串还原为JSON对象 6 使用req.user获取用户信息 7 捕获解析JWT失败后产生的错误 8 完整代码示例
node.js express JWT token生成与校验
SupperSA的博客
12-11 1434
JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp。2、在代码controller层引入依赖,在登录、注册的时候生成token。生成token的头信息,通常由两部分组成,包含。通过HMACSHA256加密算法生成的签名。
HTTP代理出现401错误的原因及解决办法
syhttp的博客
08-16 1万+
HTTP代理出现401 Unauthorized错误代码通常表示请求需要进行身份验证,但请求未提供有效的身份验证信息。文章分析了出现401错误代码的原因及解决方法。
nodejs中的express-jwt
05-24
使用 `express-jwt`,你可以在 Express 路由中通过检查 JWT 来实现对受保护资源的访问控制。当客户端发送请求时,`express-jwt` 会自动验证 JWT,并在验证失败时返回错误响应。 在使用 `express-jwt` 之前,你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值