三、node,mongoose实现用户登录token生成、鉴权

已于 2024-01-28 10:50:27 修改
阅读量518 收藏 6
点赞数 17
分类专栏: node.js 文章标签: 数据库 mongodb node.js
于 2024-01-28 10:49:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42205731/article/details/135892703
版权
用户Schema和密码加密

        首先,我们使用Mongoose定义用户数据模型。这里包含用户名(username)和密码(password),并且在密码字段上设置了一个预保存钩子(pre-save hook),用于在存储到数据库前对其进行bcrypt加密,使用bcryptjs工具。

const mongoose = require('mongoose');
const bcrypt = require('bcryptjs');

// 定义用户Schema
const userSchema = new mongoose.Schema({
  name: { type: String, required: true },
  email: { type: String, unique: true, required: true },
  password: { type: String, required: true },
  // 其他字段...
});

// 预保存钩子:在保存用户前对密码进行bcrypt哈希处理
userSchema.pre('save', async function (next) {
  if (!this.isModified('password')) return next();
  this.password = await bcrypt.hash(this.password, 10); // 加密强度为10的bcrypt算法
  next();
});

// 创建并注册User Model
const User = mongoose.model('User', userSchema);
用户登录功能

        创建一个处理用户登录请求的API端点,验证email和密码是否匹配,并在成功时生成JWT Token,如果用户不存在则创建一个新用户。

 文件:routes/user.js

// usersRoutes.js
const express = require("express");
const bcrypt = require("bcryptjs");
const jwt = require("jsonwebtoken");
const secret = 'mySuperSecretKeyForJwtSigning';
const { User } = require("../model/main"); // 确保路径正确指向db.js文件

const router = express.Router();

// 定义登录路由
router.post("/login", async (req, res) => {
  try {
    const { email, password, name } = req.body;
    // 先尝试查询数据库获取对应用户名的用户
    let user = await User.findOne({ email });
    if (!user) {
      // 如果用户不存在,则创建新用户并保存到数据库
      user = new User({ email, password, name });
      await user.save();
    } else {
      // 对于已存在的用户,验证密码是否匹配
      if (!await bcrypt.compare(password, user.password)) {
        return res.status(401).json({ error: 'Invalid credentials' });
      }
    }
    // 密码正确或新用户已创建,生成Token
    const token = jwt.sign({ userId: user._id }, secret, { expiresIn: "1h" }); // 设置过期时间为1小时
    // 将Token和其他用户信息返回给客户端
    res.json({ token, name: user.name || null, id: user._id, email: user.email });
  } catch (error) {
    console.error(error);
    res.status(500).json({ error: "Server error" });
  }
});

// 查询单个用户或所有用户接口
router.get("/:id?", async (req, res) => {
  try {
    if (req.params.id) {
      const userId = req.params.id;
      const user = await User.findById(userId);
      if (!user) {
        return res.status(404).json({ message: "User not found." });
      }
      res.json(user);
    } else {
      const users = await User.find();
      res.json(users);
    }
  } catch (error) {
    console.error("Error fetching user(s):", error);
    res
      .status(500)
      .json({ error: "An error occurred while fetching the user(s)." });
  }
});

module.exports = router;
JWT Token生成说明

        这里利用jsonwebtoken库根据用户ID生成一个签名的Token,这个Token内包含了用户的唯一标识符userId。设定一定的过期时间以提高安全性。

const jwt = require('jsonwebtoken');
const secret = 'mySuperSecretKeyForJwtSigning' // process.env.JWT_SECRET 这个secret应从环境变量中获取,确保安全

// 假设上述login函数内部
const token = jwt.sign({ userId: user._id }, secret, { expiresIn: '1h' }); // 过期时间为1小时
JWT鉴权中间件

        创建一个中间件,该中间件会在每次保护路由被访问时执行。其作用是从请求头中提取Token,并解码验证Token的有效性。如果有效,则将解码后的用户信息附加到请求对象上以便后续操作。

文件:auth.js

const jwt = require("jsonwebtoken");
const secret = "mySuperSecretKeyForJwtSigning";

const authMiddleware = (req, res, next) => {
  const noAuthPaths = ["/api/users/login"];
  if (noAuthPaths.some((path) => req.path.startsWith(path))) {
    return next(); // 路径在白名单内,直接进入下一个中间件或路由处理函数
  }
  const authorizationHeader = req.headers["authorization"];
  // 检查请求头中是否存在Authorization头,并从中提取出Bearer后面的Token部分
  if (!authorizationHeader || !authorizationHeader.startsWith("Bearer ")) {
    return res.status(401).json({ error: "Unauthorized" });
  }
  const token = authorizationHeader.split(" ")[1];
  try {
    // 解码并验证Token
    const decoded = jwt.verify(token, secret);
    // 将解码得到的用户信息添加到请求对象上
    req.user = decoded;
    next();
  } catch (err) {
    return res.status(401).json({ error: "Unauthorized" });
  }
};

module.exports = authMiddleware;
在应用中全局启用鉴权中间件 
const authMiddleware = require('./auth');
app.use(authMiddleware)

server.js文件完整代码 

// server.js
const express = require('express');
const bodyParser = require('body-parser');
const cors = require('cors');
const { connect } = require('./db'); // 确保路径正确指向db.js文件
const authMiddleware = require('./auth');

const app = express();
app.use(cors());
app.use(bodyParser.json());
app.use(authMiddleware)

// 在服务器启动前先连接数据库
async function startServer() {
  try {
    await connect();
    console.log('Connected to MongoDB');
    // 挂载用户路由到 /api/users
    const usersRoutes = require('./routes/user');
    app.use('/api/users', usersRoutes);
    // 启动服务器
    const PORT = process.env.PORT || 3000;
    app.listen(PORT, () => {
      console.log(`Server is running on port ${PORT}`);
    });
  } catch (error) {
    console.error('Error connecting to MongoDB:', error);
  }
}

startServer();
前端调用展示:

        

        以上代码展示了如何在Node.js与Mongoose配合下实现用户登录及基于JWT的Token鉴权机制的基本流程。实际项目中还应考虑更多细节,例如异常处理、Token刷新策略、Token黑名单管理等。 

陨石猎人
关注
  • 17
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mongoose-password:使用@ rojo2password的Mongoose密码插件
05-19
猫鼬密码插件 使用猫鼬密码插件 import password from "@rojo2/mongoose-password" ; import { Schema } from "mongoose" ; const UserSchema = new Schema ( { email : { type : String , unique : true } } ) ; UserSchema . plugin ( password ) ; 用 :red_heart: 由ROJO 2( )
Node-Auth:基于Node Express Mongoose实现用户注册登陆限验证
02-04
基于Node Express Mongoose实现用户注册/登陆限验证 项目介绍 路由设计 POST / api / signup:用户注册 POST / api / user / accesstoken:帐户验证,获取令牌 GET / api / user / info:获得用户信息,需验证 ...
使用Token方式实现用户身份认证
软件自动化测试技术交流、资源分享
07-03 903
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。比如如下形式: 39faf62271944fe48c4f1d69be71bc9a
如何生成以及校验token
devops
04-25 6298
token是由服务端创建的一串字符串,登陆成功后发送给前端存储在浏览器或本地中,以后每次发送请求都携带上。
接口自动化入门:登录流程中的cookie,Session, Token实践
2301_76643199的博客
07-28 604
为了回馈铁杆粉丝们,我给大家整理了完整的软件测试视频学习教程,朋友们如果需要可以自行免费领取
Token如何生成
林夕
10-31 2454
在每个请求操作,如果登录判断,在请求头中,查看是否包含对应的token 字符串,如果包含,对字符串进行校验,对比判断是否是登陆时生成的对应的token 字符串。base64编码,并不是加密,只是把明文信息变成了不可见的字符串。但是其实只要用一些工具就可以1把base64编码解成明文,所以不要在JWT中放入涉及私密的信息。主要是该JWT的相关配置参数,比如签名的加密算法、格式类型、过期时间等等。userInfo{用户的Id,用户的昵称nickName}用户自定义的内容,根据实际需要真正要封装的信息。
node使用Mongoose类库实现简单的增删改查
01-02
Mongoose是在nodejs环境中对MongoDB数据库操作的封装,一种对象模型工具,可以将数据库中的数据转换为javascript对象供我们使用。 Mongoose安装 npm install mongoose 安装成功后,我们就可以使用 require(...
使用mongoose和bcrypt实现用户密码加密的示例
09-09
下面小编就为大家分享一篇使用mongoose和bcrypt实现用户密码加密的示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Node+Express+MongoDB实现登录注册功能实例
08-30
"Node+Express+MongoDB实现登录注册功能实例" 本文主要介绍了使用 Node.js...本实例展示了如何使用 Node.js、Express 框架和 MongoDB 实现登录注册功能的实例,涵盖了用户注册、登录、session 管理和模板引擎的使用。
koa-mongo_node+mongoDB实现登录_loadh2h_koamongo_MongoDB_
09-29
在本项目中,开发者使用了`Koa`作为Node.js的Web服务器框架,结合`MongoDB`数据库,实现用户登录和注册的功能。`Koa`是Express作者开发的一个新一代的Node.js Web框架,它提供了更现代的API和更好的错误处理机制,...
如何生成一个token
weixin_42588555的博客
02-10 1538
生成 token 的方法有很多种,具体方法取决于你使用的系统和技术。但是,一般来说,生成 token 的步骤如下: 定义 token 的格式,通常包括以下信息: 用户标识,表示 token 所属的用户 过期时间,表示 token 的有效期 其他任意数据,如限、访问信息等 使用加密算法(如 HMAC-SHA256、RSA 等)对上述信息进行编码,生成签名(signature) 将信息和签名拼...
登录——node(express框架)
mantou_riji的博客
07-09 1359
用户想要访问主界面是,必须要判断用户是否登录,如果用户已经登陆就返回主界面,如果用户登录就返回登录界面。不能说无论用户是否登录都可以通过修改请求路径直接跳转到主页面,这显然是错误的。解决该问题就是需要登录。验证用户的身份我们一般有两种方式,一种是采用cookie和Session ,另一种是采用JWT(token)方法。登陆页面,主页面,用户登陆后可以跳转到主页面,现在还没有进行登录,所以用户直接访问请求地址也可以跳转到主页面。项目是通过express生成的框架. 项目目录: controll
登录业务实现 - token登录
weixin_42479421的博客
09-16 983
登录业务实现 / 登录 :1. 登录成功/失败实现 2. pinia管理用户数据及数据持久化 3. 不同登录状态的模板适配 4. 请求拦截器携带token 5. 退出登陆实现 6. token失效(401响应拦截)
生成token的两种方式
qq_42108331的博客
07-11 3657
生成token的两种方式
登录方案中,session、token、cookie三者的区别及选择
Tec Log
08-16 3281
目前web常用的登录方案主要有3种,分别是session、token、cookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录,不在本文讨论范围内。...
Token 如何生成 简述
dujidan的博客
01-27 8457
Token 如何生成 简述 Token 值是将请求源串以及 Secret 通过 MD5 算法生成的,用来提高传输过程参数的防篡改性。 token 值的生成共有 2 个步骤:构造源串,生成 token 值。 如何成成 MD5 值 md5sum $file ...
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 956
使用基于 Token 的身份验证方法,在服务端不需要存储用户登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
深入理解 Token生成和校验过程详解
最新发布
weixin_42279822的博客
03-21 5507
标题:深入理解 Token生成和校验过程详解在网络应用中,Token 是一种常见的身份验证和授机制,它通过加密技术来确保通信的安全性和用户身份的合法性。在本文中,我们将深入探讨 Token生成和校验过程,并提供详细的示例来帮助读者更好地理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陨石猎人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值