Nodejs - 9步开启JWT身份验证

最新推荐文章于 2024-05-11 19:26:37 发布
最新推荐文章于 2024-05-11 19:26:37 发布
阅读量1.1k 收藏 24
点赞数 31
分类专栏: 南城前端专栏 前端JS那些事 文章标签: 前端 javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37247349/article/details/135987075
版权

本文翻译自 9 Steps for JWT Authentication in Node.js Application,作者:Shefali, 略有删改。

身份验证是Web开发的重要组成部分。JSON Web令牌(JWT)由于其简单性,安全性和可扩展性,已成为在Web应用程序中实现身份验证的流行方法。在这篇文章中,我将指导你在Node.js应用程序中使用MongoDB进行数据存储来实现JWT身份验证。

在开始之前,我假设你已经安装了Node.js、MongoDB和VS Code,并且你知道如何创建MongoDB数据库和基本的RESTful API。

什么是JWT认证?

JWT身份验证依赖于JSON Web令牌来确认Web应用中用户的身份。JSON Web令牌是使用密钥对进行数字签名的编码JSON对象。

简而言之,JWT身份验证就像为网站提供一个密码。一旦你登录成功,你就得到了这个密码。

JSON Web Token由三部分组成,由点(.)分隔:

  • Header
  • Payload
  • Signature

以下是JWT的基本结构:

xxxx.yyyy.zzzz
  • Header:这部分包含有关令牌的信息,如其类型和如何保护。
  • Payload:这部分包含关于用户的声明,如用户名或角色。
  • Signature:确保令牌的完整性,并验证它没有被更改,这可以确保代码安全,不会被篡改。

当你登录成功时,你会得到这个代码。每次你想访问某个数据时,你都要携带这个代码来证明是你。系统会检查代码是否有效,然后让你获取数据!

接下来让我们看看在node.js项目中进行JWT身份验证的步骤。

步骤1:新建项目

首先为您的项目创建一个新目录,并使用以下命令进入到该目录。

mkdir nodejs-jwt-auth
cd nodejs-jwt-auth

通过在终端中运行以下命令初始化项目(确保您位于新创建的项目文件夹中)。

npm init -y

接下来通过以下命令安装必要的依赖项:

npm install express mongoose jsonwebtoken dotenv

上面的命令将安装:

  • express: 用于构建Web服务器。
  • mongoose:MongoDB的数据库。
  • jsonwebtoken:用于生成和验证JSON Web令牌(JWT)以进行身份验证。
  • dotenv:用于从.env文件加载环境变量。

现在您的package.json文件应该看起来像这样:

步骤2:连接MongoDB数据库

要连接MongoDB数据库,请查看以下链接中的具体操作流程。

https://shefali.dev/restful-api/#Step_4_Creating_a_MongoDB_Database

步骤3:创建 .env 文件

为了 MongoDB 连接地址的安全,让我们在根目录下创建一个名为 .env 的新文件。

将以下代码添加到.env文件中。

MONGODB_URL=<Your MongoDB Connection String>
SECRET_KEY="your_secret_key_here"

<Your MongoDB Connection String>替换为您从MongoDB Atlas获得的连接字符串(在步骤2中),并将your_secret_key_here替换为您想要的密钥字符串。现在你的.env文件应该是这样的。

MONGODB_URL='mongodb+srv://shefali:********@cluster0.sscvg.mongodb.net/nodejs-jwt-auth'
SECRET_KEY="ThisIsMySecretKey"

MONGODB_URL最后我们加入node.js-jwt-auth,这是我们的数据库名称。

步骤4:Express

在根目录下创建一个名为index.js的文件,并将以下代码添加到该文件中。

const express = require("express");
const mongoose = require("mongoose");

require("dotenv").config(); //for using variables from .env file.

const app = express();
const port = 3000;

//middleware provided by Express to parse incoming JSON requests.
app.use(express.json()); 

mongoose.connect(process.env.MONGODB_URL).then(() => {
  console.log("MongoDB is connected!");
});

app.get("/", (req, res) => {
  res.send("Hello World!");
});

app.listen(port, () => {
  console.log(`Server is listening on port ${port}`);
});

现在我们可以通过以下命令运行服务器。

node index.js

输出应如下图所示。

通过使用命令node index.js,您必须在每次更改文件时重新启动服务器。为了避免这种情况,您可以使用以下命令安装nodemon

npm install -g nodemon

现在使用下面的命令运行服务器,它会在每次更改文件时自动重新启动服务器。

nodemon index.js

步骤5:创建用户数据库模型

在根目录下创建一个名为models的新目录,并在其中创建一个名为User.js的新文件。

现在让我们为我们的项目创建一个简单的模型,将以下代码添加到User.js文件中。

const mongoose = require("mongoose");

const userSchema = new mongoose.Schema({
  username: {
    type: String,
    required: true,
    unique: true,
  },
  password: {
    type: String,
    required: true,
  },
});

module.exports = mongoose.model("User", userSchema);

步骤6:实现身份验证路由

在根目录中,创建一个名为routes的新目录,并在其中创建一个名为auth.js的文件。

然后将以下代码添加到该文件中:

const express = require("express");
const jwt = require("jsonwebtoken");
const User = require("../models/User");
const router = express.Router();

// Signup route
router.post("/signup", async (req, res) => {
  try {
    const { username, password } = req.body;
    const user = new User({ username, password });
    await user.save();
    res.status(201).json({ message: "New user registered successfully" });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});

// Login route
router.post("/login", async (req, res) => {
  const { username, password } = req.body;
  try {
    const user = await User.findOne({ username });

    if (!user) {
      return res.status(401).json({ message: "Invalid username or password" });
    }
    if (user.password !== password) {
      return res.status(401).json({ message: 'Invalid username or password' });
    }
    // Generate JWT token
    const token = jwt.sign(
      { id: user._id, username: user.username },
      process.env.SECRET_KEY
    );
    res.json({ token });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});

module.exports = router;
分解上面的代码:

导入依赖:

const express = require("express");
const jwt = require("jsonwebtoken");
const User = require("../models/User");
const router = express.Router();

在这里,我们导入以下依赖项:

  • express: 用于构建Web服务器。
  • jsonwebtoken:用于生成和验证JSON Web令牌(JWT)以进行身份验证。
  • User:从第5步中创建的User模块导入的模型。
  • router:Express中的Router()函数用于单独定义路由,然后将其合并到主应用程序中。

注册路由:

// Signup route
router.post("/signup", async (req, res) => {
  try {
    const { username, password } = req.body;
    const user = new User({ username, password });
    await user.save();
    res.status(201).json({ message: "New user registered successfully" });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});
  • 此路由监听对/signup的POST请求。
  • 当接收到请求时,它从请求体中提取usernamepassword
  • 然后使用提供的用户名和密码创建User模型的一个新实例。
  • 调用save()方法将新用户保存到数据库。
  • 如果用户成功保存,它会返回一个状态码201和一个JSON消息,表示“新用户注册成功”。
  • 如果在此过程中发生错误,它会捕获错误并以状态代码500和错误消息“内部服务器错误”进行响应。

登录路由:

// Login route
router.post("/login", async (req, res) => {
  const { username, password } = req.body;
  try {
    const user = await User.findOne({ username });

    if (!user) {
      return res.status(401).json({ message: "Invalid username or password" });
    }
    if (user.password !== password) {
      return res.status(401).json({ message: 'Invalid username or password' });
    }
    // Generate JWT token
    const token = jwt.sign(
      { id: user._id, username: user.username },
      process.env.SECRET_KEY
    );
    res.json({ token });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});
  • 此路由监听对/loginPOST请求。
  • 当接收到请求时,它从请求体中提取usernamepassword
  • 然后在数据库中使用提供的username搜索用户。
  • 如果没有找到用户,它会返回一个状态码401(未经授权)和一个JSON消息,指示用户名或密码无效。
  • 如果找到用户,它会检查提供的password是否与数据库中存储的密码匹配。
  • 如果密码不匹配,它会返回一个状态码401(未经授权)和一个JSON消息,指示用户名或密码无效。
  • 如果密码匹配,它将使用jwt.sign()生成一个JWT。
  • 生成的令牌然后作为JSON响应发送。
  • 如果在此过程中出现错误,它会捕获错误并以状态代码500和错误消息“内部服务器错误”进行响应。

最后路由被导出以在index.js文件中使用。

module.exports = router;

步骤7:使用中间件保护路由

在根目录中,创建一个名为middleware.js的新文件,并将以下代码添加到该文件中。

const jwt = require("jsonwebtoken");

function verifyJWT(req, res, next) {
  const token = req.headers["authorization"];

  if (!token) {
    return res.status(401).json({ message: "Access denied" });
  }

  jwt.verify(token, process.env.SECRET_KEY, (err, data) => {
    if (err) {
      return res.status(401).json({ message: "Failed to authenticate token" });
    }
    req.user = data;
    next();
  });
}

module.exports = verifyJWT;

此代码是一个中间件函数,用于在应用程序中验证JSON Web令牌(JWT)。

分解上面的代码:

  • 在第一行中,我们导入jsonwebtoken库。
  • 然后定义verifyJWT中间件函数,它有三个参数:req(请求对象)、res(响应对象)和next(下一个中间件函数)。
  • 在中间件函数内部,它首先从请求头中提取token令牌。
  • 如果请求头中没有令牌,它将返回401(未经授权)状态沿着JSON响应,指示“拒绝访问”。
  • 如果存在令牌,它会尝试使用jwt.verify()进行验证。如果验证失败,它会捕获错误并返回一个401状态,其中包含一个JSON响应,指示“Failed to authenticate token”。
  • 如果令牌被成功验证,它将解码的令牌数据附加到req.user对象。
  • 最后导出verifyJWT函数,以便它可以用作应用程序其他部分的中间件。

第8步:验证JWT

现在要验证JWT,请修改index.js,如下所示:

const express = require('express');
const authRouter = require('./routes/auth');
const mongoose = require("mongoose");
const verifyJWT = require("./middleware")

require("dotenv").config(); //for using variables from .env file.

const app = express();
const PORT = 3000;

mongoose.connect(process.env.MONGODB_URL).then(() => {
    console.log("MongoDB is connected!");
});
app.use(express.json());

//Authentication route
app.use('/auth', authRouter);

//decodeDetails Route
app.get('/decodeDetails', verifyJWT, (req, res) => {
  const { username } = req.user;
  res.json({ username });
});

app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

在上面的代码中,/auth路由是authRouter处理,其中包含的终端用户认证,例如登录和注册。

app.get('/decodeDetails', verifyJWT, (req, res) => {
  const { username } = req.user;
  res.json({ username });
});
  • 当向/decodeDetails发出请求时,verifyJWT中间件验证附加到请求的JWT令牌。
  • 如果令牌有效,则中间件从req.user中存储的解码令牌数据中提取username
  • 最后路由处理程序发送一个JSON响应,其中包含从令牌中提取的username

步骤9:测试API

注册

http://localhost:3000/auth/signup发送一个POST请求,其中包含Headers Content-Type : application/json和以下JSON主体:

{
    "username": "shefali",
    "password": "12345678"
}

在响应中,您将看到消息“新用户注册成功”。

登录

http://localhost:3000/auth/login发送一个POST请求,其中包含Header Content-Type : application/jsonJSON主体以及用户名和密码,这是您在注册路由中创建的。

{
    "username": "shefali",
    "password": "12345678"
}

在响应中,您将收到一个令牌。记下这个令牌,因为在测试decodeDetails路由时需要它。

decodeDetails

http://localhost:3000/decodeDetails发送一个GET请求,并带有一个带有令牌值的Authorization头(您在测试登录路由时得到了它)。

在响应中,您将获得用户名。恭喜你!🎉

您已经在Node.js应用程序中成功实现了JWT身份验证。这种方法提供了一种安全有效的方式来验证Web应用程序中的用户。

看完本文如果觉得有用,记得点个赞支持,收藏起来说不定哪天就用上啦~

专注前端开发,分享前端相关技术干货,公众号:南城大前端(ID: nanchengfe)

南城FE
关注
  • 31
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
koa-jwt-postgres-auth:使用Koa和PostgreSQL由JWT身份验证支持的REST API
02-03
Koa,JWT和Postgres身份验证 轻量级用户注册/登录API,该API返回无状态的以访问安全的路由。 安装 参见 测验 请参阅 贡献 欢迎提出请求。 对于重大更改,请先打开一个问题以讨论您要更改的内容。 请确保适当地更新...
koa-jwt-mongo-auth:使用Koa和MongoDB由JWT身份验证支持的REST API
02-03
Koa,JWT和MongoDB身份验证 轻量级用户注册/登录API,该API返回无状态的以访问安全的路由。 安装 参见 测验 请参阅 贡献 欢迎提出请求。 对于重大更改,请先打开一个问题以讨论您要更改的内容。 请确保适当地更新和...
使用nodejs-koa2-mysql-sequelize-jwt 实现项目api接口
m0_72345017的博客
09-12 210
项目身份验证使用了jwt,就是说登录注册和获取用户信息不用jwt验证,其他接口都需要token验证。使用接口(在router/index.js),开启服务后,可以用postman软件测试接口。登录注册都会返回token信息,除了这两个接口必须要发送header头。才能获取到接口信息,而且token有效期是1个小时就失效。
nodejs koa2 mysql_使用nodejs-koa2-mysql-sequelize-jwt 实现项目api接口
weixin_42550052的博客
01-19 137
nodejs-koa2-mysql-sequelize-jwt技术栈:nodejs, koa2, mysql, sequelize, jwt项目数据层和操作层分明使用koa2框架中间件,参数处理jwt做权限接口验证sequelize管理mysql数据库异步处理async/await已实现登录注册接口,文章增删改查接口喜欢或对你有帮助的话请点star✨✨,或有您有更好的建议和意见,请提出来告知我,可...
koa mysql jwt_使用nodejs-koa2-mysql-sequelize-jwt 实现项目api接口
weixin_33681561的博客
02-17 140
node路能需还定有开都视这讲房哦搞有名需移洁页js-koa2-mysql-sequelize-jw朋支不器几事为的时后级功发发来久都这样含制层是请些间例业多在上t技术栈:二,都过发宗发数前业很断屏击和公图使分近nodejs, koa2, mysql, sequelize, 能调页代事求都学是功发解开宗这维视如间请前框来总在行回断元随来以4移和泉果动标jwt项目数据层和操作层分比抖朋要插支一圈不者...
koa2 mysql sequelize_使用nodejs-koa2-mysql-sequelize-jwt 实现项目api接口
weixin_42449311的博客
01-21 130
nodejs-koa2-mysql-sequelize-jwt技术栈:nodejs, koa2, mysql, sequelize, jwt项目数据层和操作层分明使用koa2框架中间件,参数处理jwt做权限接口验证sequelize管理mysql数据库异步处理async/await已实现登录注册接口,文章增删改查接口喜欢或对你有帮助的话请点star✨✨,或有您有更好的建议和意见,请提出来告知我,可...
nodejs学习笔记02 express-跨域-数据库-身份验证
好好学习天天向上
06-02 475
Express是基于Nodejs平台,快速、开发、极简的web开发框架。 Express的本质:npm上的第三方包,提供快速创建Web服务器的便捷方法,基于内置http模块进一步封装,提高开发效率。对于前端程序员,使用Express我们可以快速创建最常见的两种服务器安装 创建基本Web服务器 app.get()/app.post 监听GET/POST请求 语法:app.get(客户端请求的URL地址,请求对应的处理函数callback) callback的参数 托管静态资源 express.static()
token实现原理-基于nodejs实现身份验证
岁月如歌,江山如画
05-27 564
基于 [vue + node + mysql + jwt] 实现token身份验证 当前前后端通信现状 传统的验证方式是基于服务器的,就是把登陆信息存在服务端,每次登陆需要去辨别存储的登陆信息,一般都是通过session来实现,我们比较老的项目都是通过存储session来实现登陆验证的。 这样会有一些问题,比如每次认证用户发起请求时,服务器都需要创建一个用记录来存储信息,当越来越多的用户发起请求时,内存的开销也会不断的增加,因此引入了token机制 token的验证原理 基于Token的身份验证的过程如下
koa2 mysql sequelize_[转]使用nodejs-koa2-mysql-sequelize-jwt 实现项目api接口
weixin_35411480的博客
01-27 68
nodejs-koa2-mysql-sequelize-jwt技术栈:nodejs, koa2, mysql, sequelize, jwt项目数据层和操作层分明使用koa2框架中间件,参数处理jwt做权限接口验证sequelize管理mysql数据库异步处理async/await已实现登录注册接口,文章增删改查接口喜欢或对你有帮助的话请点star✨✨,或有您有更好的建议和意见,请提出来告知我,可...
Jwt身份验证
hao_dream_xi的博客
08-18 436
Jwt身份验证 一. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 二. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 三. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”:...
nodeJS入门(四)之身份验证
qq_38256266的博客
08-26 582
身份验证一、bcrypt模块1.1、简单介绍一下1.2、安装1.3、加密二、身份验证2.1、session(会话)2.1.1、session实现身份验证的思路2.1.2、session的业务流程2.1.3、express-session2.2、token2.2.1、实现思路2.2.2、实现步骤2.3、session vs token2.4、保存信息给浏览器(cookie)三、文件上传3.1、基本思路3.2、multer中间件四、BSR&&SSR&&SEO4.1、BSR4.2、
JWT_authentication_API_bolilerplate:具有JTW认证的NodeJS样板
05-24
请在终端中运行以下命令: node -v 要确认您已安装npm,可以在终端中运行以下命令: npm -v 快速开始npm install node index (建议安装nodemon) 打开概述该项目是JWT用户身份验证API入门板,可以在需要的节点项目...
Turing-ECommerce-backend:在这个项目中,我使用 NodeJS 的 Express 框架制作了一个电子商务网站的后端。 我还使用 JWT 身份验证令牌来验证客户
05-30
我还使用 JWT 身份验证令牌来验证客户是否有效。 我们已经获得了 mysql 数据库,其中有不同的表及其数据。 我们必须为不同的端点编写不同的查询以使其工作。 要求 安装过程及执行 首先,如果您使用的是基于Linux的...
authmodule:它是一个用于基于令牌的身份验证nodejs 模块
07-04
认证模块它是一个用于基于令牌的身份验证nodejs 模块。 该模块使用 Json Web Tokens 或 JWT 进行身份验证。 配置: 秘密密钥 - 打开 index.js 文件并相应地选择秘密密钥。 MONGODB URL(可选)- 指定您的 mongo ...
根据地址栏url上key获取值
wwf1225的博客
05-10 142
/ 根据url上key获取值,key为参数名字,例如token。
Android WebViewJavascriptBridge JS层调用Native层流程解释
最新发布
zhanghao_Hulk的专栏
05-11 56
在android开发中,存在Android的原生Native层与JS网页混合开发的需求,此时可以使用WebViewJavascriptBridge框架进行桥接,实现JS与Native层相互通信。 下面对WebViewJavascriptBridge框架的实现流程做简单解释:
JavaScript基础(六)
2401_82863547的博客
05-11 301
console.log('对折了'+i+'次,高度达到了'+paper+'超过了珠峰');当你不知道循环执行多少次,可以写个死循环,然后在循环体内判断,满足条件后break终止即可。依次输入三个弹窗,第一个输入数字,第二个输入运算符,第三个输入数字,然后给出结果。score = prompt('请输入第'+i+'局的成绩')var num2 = prompt('请输入运算符+-*/');但是,这种写法不好,用变量接收输出的写法是最好的,更好维护。或满足一边就行,用ΙΙ对不对,那同时满足用&&,复习一下。
基于若依框架搭建网站的开发日志(一):若依框架搭建、启动、部署
lzh804121985的博客
05-05 1049
若依是一款开源的基于Vue+SpringCloud的微服务后台管理系统(也有SpringBoot版本),集成了用户管理、权限管理、定时任务、前端表单生成等各种基础功能,对于像我这种前端代码写不了一点的玩家来说十分友好!
nodejs-legacy nodejs
08-19
nodejs-legacy和nodejs是用于在Ubuntu系统上安装Node.js的包。nodejs-legacy是一个过渡性的软件包,用于确保在旧版本Ubuntu系统上的向后兼容性。而nodejs则是正式的Node.js软件包。在安装Node.js时,可以选择使用apt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南城FE

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值