学习笔记——express框架token鉴权问题

最新推荐文章于 2024-05-23 23:38:04 发布
最新推荐文章于 2024-05-23 23:38:04 发布
阅读量2k 收藏 4
点赞数 2
分类专栏: 前端学习 文章标签: node.js 前端 ajax postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41339126/article/details/123921590
版权

本文,express框架使用jsonwebtoken鉴权。

一. jsonwebtoken使用 

npm i jsonwebtoken
const jwt = require('jsonwebtoken')
const singKey = 'mes_qdhd_mobile_xhykjyxgs'    // 这里可以自己设置

exports.setToken = (username) => {
	return new Promise((resolve, reject) => {
		const token = jwt.sign(
			{
				username,
			},
			singKey,
			{
				expiresIn: 60 * 60,
				algorithm: 'HS256',
			}
		)
		resolve(token)
	})
}

exports.verToken = (token) => {
	return new Promise((resolve, reject) => {
		let info = jwt.verify(token.split(' ')[1], singKey)
		resolve(info)
	})
}

exports.singKey = singKey

二. 问题

问题:token.split(' ')[1]为什么这样使用?

希望客户端给服务器传过来的token是Bearer xxx.xxx.xxx这样的形式。否则以下代码中会报错:

// app.js
var expressJwt = require('express-jwt')
var { verToken, singKey } = require('./util/token')

// 解析token获取用户信息
app.use(function (req, res, next) {
	var token = req.headers['authorization']
	if (token == undefined) {
		return next()
	} else {
		verToken(token)
			.then((data) => {
				req.data = data
				return next()
			})
			.catch((error) => {
				return next()
			})
	}
})

//验证token是否过期并规定哪些路由不用验证
app.use(
	expressJwt({
		secret: singKey, // 密匙
		algorithms: ['HS256'],
	}).unless({
		path: ['/login'], //除了这个地址,其他的URL都需要验证
	})
)

// 错误处理
app.use(function (err, req, res, next) {
	// set locals, only providing error in development
	res.locals.message = err.message
	res.locals.error = req.app.get('env') === 'development' ? err : {}
	// render the error page
	res.status(err.status || 500)
    console.log(err)

	if (err.status == 401) {
		res.send(httpRequest.untoken())
	} else if (err.status == 404) {
		res.send(httpRequest.notFound())
	} else {
		res.send({ code: err.status, data: {}, msg: err.status })
	}
})

当不是Bearer xxx.xxx.xxx形式时,一直报401,console.log(err)可以输出错误信息:

UnauthorizedError: Format is Authorization: Bearer [token]
    at middleware (D:\前端练习\Node\publicserver\node_modules\express-jwt\lib\index.js:73:21)
    at result (D:\前端练习\Node\publicserver\node_modules\express-unless\index.js:49:5)
    at Layer.handle [as handle_request] (D:\前端练习\Node\publicserver\node_modules\express\lib\router\layer.js:95:5)
    at trim_prefix (D:\前端练习\Node\publicserver\node_modules\express\lib\router\index.js:317:13)
    at D:\前端练习\Node\publicserver\node_modules\express\lib\router\index.js:284:7
    at Function.process_params (D:\前端练习\Node\publicserver\node_modules\express\lib\router\index.js:335:12)
    at next (D:\前端练习\Node\publicserver\node_modules\express\lib\router\index.js:275:10)
    at D:\前端练习\Node\publicserver\app.js:40:12 {
  code: 'credentials_bad_format',
  status: 401,
  inner: { message: 'Format is Authorization: Bearer [token]' }
}

三. 解决方法

1.发送请求时,请求头header中手动添加Bearer

header: {
   Authorization: 'Bearer ' + token
},

2.使用postman时,选择Bearer Token

 

一一GG
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Format is Authorization: Bearer [token]
weixin_52741665的博客
04-19 189
如代码报错所示,token格式错误,应该在token前面加上 'Bearer '。注意引号里面有空格。
node.jsexpresstoken验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 中的用户信息,比如用户 id
Node.js —— 前后端的身份认证 之用express实现session认证
最新发布
迪幻的博客
05-23 745
Session 认证是一种常见的身份验证机制,用于在 Web 应用程序中跟踪用户的登录状态。本次文章为大家讲解了如何用Express模块以及express-session 模块来写session认证
express token 设置 Format is Authorization: Bearer [token]
qq_31850625的博客
08-01 1994
最后是axios请求头的设置问题
node-token生成(jsonwebtoken)和过期验证(express-jwt)采坑记录
GreyCastle的博客
09-23 4058
前言: 在做服务时token验证是必不可少的一环。今天搞node验证可谓是一波三折。 先说踩得坑吧: 在使用express-jwt插件验证token是否过期时,一直验证不通过,报401。 服务端会提示: 原因:就是前端要在token前面加上Bearer和空格。如图: 接下来看下两个插件(时间有限我只简单的说)详细了解看下面 jsonwebtoken:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.ht..
微信小程序401 unauthorized 授权问题解决方法
Qianmoer的博客
07-01 2322
在请求接口的时候加入 header,然后把token 赋值给Authorization。在做微信小程序项目的时候,在请求接口的时候经常出现unauthorized这个问题。所以是写header的时候格式写错了(可能是由于接口用node.js写的原因)。随后百度翻译了一下,错误的授权头格式。这是由于在请求接口的时候,没有定义header。随后把header改成了这样的。然后就可以请求接口成功了。然而这样还是继续报错。
express 接口进行鉴权,自定义鉴权中间件,并可携带参数
好巧的博客
06-18 1797
当然,如果你觉得文章有什么让你觉得不合理、或者有更简单的实现方法又或者有理解不来的地方,希望你在看到之后能够在评论里指出来,我会在看到之后尽快的回复你。解释:res.send() 或 res.json() 这类客户端返回的方法一个请求只能返回一次,如果多次返回就会出现这个错误。express.js中的中间件是一种处理应用程序中常见功能的强大,优雅的方法。例如接口在响应之前,对接口进行鉴权,调用 next() 函数通过鉴权。如果本篇文章对你有帮助的话,很高兴能够帮助上你。
Pytorch学习笔记——文本预处理
01-06
文本预处理 1、概述 文本数据:有用内容和无用内容 文章:单词、符号、空格、乱码等 思想:我们需要对无用信息进行过滤,而计算机无法直接处理单词等有用信息,我们需要把他们转换成数字。将单词映射到不同的数字,...
ceshi.rar——后端框架 拦截 token 加密
04-30
后端框架框架整合一体——便于使用,在这里进行分享与保存 新手也可以下载使用 后端框架框架整合一体——便于使用,在这里进行分享与保存 新手也可以下载使用 后端框架框架整合一体——便于使用,在这里进行...
SpringBoot使用token简单鉴权的具体实现方法
08-25
本文主要介绍了使用 SpringBoot 实现 token 简单鉴权的具体实现方法,通过示例代码详细介绍了相关内容,对大家的学习或者工作具有一定的参考学习价值。 一、简介 在前后端分离的系统中,为了保证一定的安全性,...
restful风格请求,token鉴权实例
01-14
本实例将探讨如何在Spring Boot框架下实现RESTful风格的请求,并利用JWT(JSON Web Token)进行权限验证,同时结合自定义注解来简化鉴权流程。 首先,RESTful风格的HTTP请求主要涉及GET、POST、PUT、DELETE等方法,...
express-unless, 有条件地添加一个中间件来表达一些.zip
10-10
express-unless, 有条件地添加一个中间件来表达一些 满足条件时有条件跳过中间件。安装npm i express-unless --save用法使用现有中间件:var unless = require('express-unless');var sta
登录鉴权——node(express框架
mantou_riji的博客
07-09 1349
当用户想要访问主界面是,必须要判断用户是否登录,如果用户已经登陆就返回主界面,如果用户未登录就返回登录界面。不能说无论用户是否登录都可以通过修改请求路径直接跳转到主页面,这显然是错误的。解决该问题就是需要登录鉴权。验证用户的身份我们一般有两种方式,一种是采用cookie和Session ,另一种是采用JWT(token)方法。登陆页面,主页面,用户登陆后可以跳转到主页面,现在还没有进行登录鉴权,所以用户直接访问请求地址也可以跳转到主页面。项目是通过express生成的框架. 项目目录: controll
微信小程序401unauthorized授权问题解决方法
qq_45281478的博客
04-25 7908
目前在做一个微信小程序的项目,但是在请求接口的时候经常出现unauthorized这个问题。 这是由于在请求接口的时候,没有定义header。 后来我改了。 在请求接口的时候加入 header 然后把token 赋值给Authorization 然而这样还是继续报错。 后来我……发现,它报错变成了 Bad Authorization header format. Format is “Authorization: Bearer ” 随后我百度翻译了一下,错误的授权头格式。格式为“授权:承载<令牌&gt
nodejs使用express-jwt发现请求通过了但是请求下面的图片访问却需要携带token的解决办法。No authorization token was found
CHENC0518的博客
03-16 3661
今天在使用登录生成token,后端使用express-jwt解析token时,发现已经使用unless取消了获取图片列表的请求。但是,浏览器在请求到图片后,任然不能将图片地址显示在界面上。 找遍了网上,没找到可以解决的办法,所以写下这个方法,希望可以帮助到你。 1.首先,我们需要下载express-unless中间件 npm i express-unless --save 2.然后根据npm中express-unless在app.js中做如下配置 const multer = require(
express 登录鉴权以及接口级别的权限控制
Joey_Tribiani的博客
11-15 540
按照上述的方式,我们就完成了express搭建的后台应用的登录和接口鉴权操作。
Express安全验证——密码加密与鉴权
weixin_45925906的博客
05-16 1813
目录bcrypt密码加密Cookie-Session鉴权Token鉴权 bcrypt密码加密 在实际应用中,直接将用户密码以明文信息进行存储是不安全的做法,这里讲解一下如何使用密码解析与解析 安装bcrypt模块 yarn add bcrypt 加密与解析函数 这里需要自己进行promise的封装,才能避免因为异步的原因导致出错 exports.hash = (myPlaintextPassword) => { return new Promise((resolve, reject)
express鉴权从入门到入境
星海拾遗
03-24 2017
express鉴权之路token图示一点通(图是我自己画的,虽丑勿怪)express鉴权下载加密/解密包加密基本使用(生成token)传递Token查看token验证token 讲在前面的话:一个成熟的全栈工程师开发的前后端项目鉴权是必不可少的,接下来我们就用一篇文章来介绍一下express鉴权之路。 本文主要目的是介绍鉴权,那么默认读者已经配置完成了express的跨域基本配置以及options请求处理以及post请求参数接收 token图示一点通(图是我自己画的,虽丑勿怪) 看这个示意图就知道校验过程
Authorization 值中Bearer空格加token值在python接口请求中如何实现
热门推荐
liubo37的博客
11-28 1万+
在项目中每个接口请求都需要Authorization 值,而Authorization他的值必须 Bearer 加token值,刚开始自己忘记添加Bearer 接口请求一直拒绝访问,后来用fiddler抓取代码请求和postman请求对比发现自己的Authorization 值缺少了Bearer 然后就加上了,直接使用了这种方法: headers = {'Content-Type': 'ap...
1. token鉴权和session鉴权区别
06-11
Token鉴权和Session鉴权是两种常用的身份验证方式。 Token鉴权是一种轻量级的身份验证方式,通常用于Web API的身份验证,其工作方式为:客户端在登录后,服务器返回一个包含用户身份信息的token。客户端在后续请求中将该token附加在请求头或请求体中,服务器接收到请求后,通过对token的解析验证用户身份。该方式的优点是减轻了服务器的负担,可以跨域使用,但缺点是token一旦泄露,攻击者可以使用该token来模拟合法用户进行操作。 Session鉴权是一种传统的身份验证方式,通常用于Web应用程序的身份验证,其工作方式为:用户在登录后,服务器在后端创建一个session并返回一个sessionid给客户端,客户端在后续请求中将该sessionid附加在请求头或请求体中,服务器通过对sessionid的验证判断用户身份。该方式的优点是安全性较高,用户的状态信息可以保存在session中,但缺点是需要在服务器端存储session信息,会增加服务器的负担,并且无法跨域使用。 因此,Token鉴权和Session鉴权各有优缺点,根据实际应用场景和需求选择适当的身份验证方式。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一一GG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值