【Node】Koa中通过JWT非对称加密生成Token

已于 2023-02-06 23:07:50 修改
阅读量1.1k 收藏 4
点赞数 1
分类专栏: Node.js 文章标签: node.js
于 2022-07-30 20:02:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53512708/article/details/126076314
版权

目录

一. JWT实现Token机制

1. header

2.  payload

3. signature

二. 非对称加密,生成私钥和公钥

三. Koa中通过JWT非对称加密生成Token

一. JWT实现Token机制

 JWT生成的Token由三部分组成

1. header

alg:采用的加密算法,默认是 HMAC SHA256(HS256),采用同一个密钥进行
加密和解密;

typ:JWT,固定值;

会通过base64Url算法进行编码。

2.  payload

携带的数据,比如我们可以将用户的id和name放到payload中;

默认也会携带iat(issued at),令牌的签发时间;

我们也可以设置过期时间:exp(expiration time);

会通过base64Url算法进行编码。

3. signature

设置一个secretKey,通过将前两个的结果合并后进行HMACSHA256的算法;

HMACSHA256(base64Url(header)+.+base64Url(payload), secretKey);

但是如果secretKey暴露是一件非常危险的事情,因为之后就可以模拟颁发token,
也可以解密token; 

二. 非对称加密,生成私钥和公钥

前面我们提到过,HS256加密算法单一密钥暴露就是非常危险的事情,这个时候我们可以使用非对称加密——RS256;

私钥(private key):用于发布令牌;

公钥(public key):用于验证令牌;

通过cmd以管理员身份运行,创建文件夹keys,cd到对应文件夹下,输入openssl,

genrsa -out private.key 1024

生成私钥保存在对应文件夹

rsa -in private.key -pubout -out public.key

 生成公钥保存在对应文件夹

三. Koa中通过JWT非对称加密生成Token

src/controller/user.controller.js

// src/controller/user.controller.js
const jwt = require("jsonwebtoken")
const {
  PRIVATE_KEY
} = require("../app/config")

class UserController {
  async login(ctx, next) {
    const userInfo = ctx.userInfo
    const {
      customer_number,
      customer_phone_number
    } = userInfo

    // 生成签名
    const token = jwt.sign({
      customer_number,
      customer_phone_number
    }, PRIVATE_KEY, {
      expiresIn: 60 * 60 * 24, // 过期时间(单位:s秒)
      algorithm: 'RS256' // 指定算法
    })

    ctx.body = {
      token: `Bearer ${token}`,
      userInfo
    }
  }

  test(ctx) {
    ctx.body = "test"
  }
}

module.exports = new UserController()

重点关注login方法即可~

ctx.userInfo是我在上一个中间件verifyLoginInfo中保存的用户信息,从用户信息中我取出了其中的customer_number用户编号与customer_phone_number用户手机号作为上面提到JWT中的payload;

PRIVATE_KEY是通过上述方法在本地生成的私钥;

expiresIn是过期时间;

algorithm是选择的加密算法;

生成token后保存在ctx.body中传出

以上完成了派发令牌的过程。

PRIVATE_KEY和PUBLIC_KEY获取的过程如下:

src/app/config.js

// src/app/config.js
const dotenv = require("dotenv")
const fs = require("fs")
const path = require("path")

dotenv.config()

const PRIVATE_KEY = fs.readFileSync(path.resolve(__dirname, './keys/private.key'));
const PUBLIC_KEY = fs.readFileSync(path.resolve(__dirname, './keys/public.key'));

module.exports = {
  APP_HOST,
  APP_PORT,
  MYSQL_HOST,
  MYSQL_PORT,
  MYSQL_DATABASE,
  MYSQL_USER,
  MYSQL_PASSWORD
} = process.env

module.exports.PRIVATE_KEY = PRIVATE_KEY
module.exports.PUBLIC_KEY = PUBLIC_KEY

src/middleware/user.middleware.js

// src/middleware/user.middleware.js
const errorType = require("../constants/error-types")
const userService = require("../service/user.service")
const jwt = require("jsonwebtoken")
const { PUBLIC_KEY } = require('../app/config')

const verifyLoginInfo = async(ctx, next) => {
  const loginInfo = ctx.request.body

  const result = await userService.login(loginInfo)
  console.log("verifyLoginInfo", result);

  if (result.length === 0) {
    const error = new Error(errorType.PHONE_OR_PASSWORD_IS_INCORRECT)
    return ctx.app.emit("error", error, ctx)
  }

  ctx.userInfo = result[0]

  next()
}

const verifyAuth = async (ctx, next) => {
  console.log("验证授权的middleware~");

  const authorization = ctx.header.authorization

  if (!authorization) {
    const error = new Error(errorType.NO_AUTHORIZATION)
    return ctx.app.emit("error", error, ctx)
  }
  const token = authorization.replace('Bearer ', '');

  // 倘若jwt的验证失败会自动抛出错误,因此需要通过try-catch包裹
  try {
    // 倘若jwt的验证成功,返回值为用户传入的payload+令牌派发时间+令牌过期时间
    const result = jwt.verify(token, PUBLIC_KEY, {
      algorithms: ["RS256"]
    })
    console.log("JWT payload:", result);
    await next();
  } catch(err) {
    const error = new Error(errorType.AUTHORIZATION_EXPIRED_OR_INCORRECT);
    ctx.app.emit('error', error, ctx);
  }
}

module.exports = {
  verifyLoginInfo,
  verifyAuth
}

重点关注verifyAuth函数即可~

从ctx.header.authorization中获取Authorization授权,再去除开头的"Bearer "即得到token;

传入token,PUBLIC_KEY,对应的加密算法名称进行jwt的验证;

需要注意的是:倘若jwt的验证失败会自动抛出错误,因此需要通过try-catch包裹;

倘若jwt的验证成功,返回值为用户传入的payload+令牌派发时间+令牌过期时间(以秒s为单位的时间戳);

以上完成了验证令牌的过程。

Postman测试

派发令牌

验证令牌

参考资料:深入Node.js技术栈-学习视频教程-腾讯课堂 

名字太长不好不好
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
公钥私钥的生成nodejwt非对称加密的实现
HOMEXS的博客
02-04 634
node
koa如何进行token设置和进行token过期验证
qq_56989560的博客
09-01 1589
koa如何进行token设置和进行token过期验证
Vue Koa 实现token无感刷新
最新发布
Yue
06-14 126
request.ts。
Koa学习4:密码加密、验证登录、颁发token、用户认证
weixin_41897680的博客
10-03 1526
Koa学习4:密码加密、验证登录、颁发token、用户认证
koa2实现token验证
weixin_34232617的博客
05-01 3739
token验证的理解 token验证是一种web安全的手段,我们要求来自客户端的请求必须携带token(登录请求除外),服务端每次处理请求都会验证token,验证通过则继续后续逻辑,否则返回相应状态码打回 用到的包 npm install jsonwebtoken --save 复制代码通过jsonwebtoken可以创建token或解码已有token获取信息 const jwt = requi...
Koa】利用 JWT 实现 token验证
Morilence的博客
02-14 2931
Koa 利用 JWT 实现 token验证一、JSON Web Token 简介二、使用 node-jsonwebtoken 实现验证(一)、安装引用(二)、token签发 —— jwt.sign()(三)、token验证 —— jwt.verify()(四)、负载解码 —— jwt.decode()(五)、验证失败的错误类型三、借助 koa-jwt 间件简化验证 一、JSON Web Tok...
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
node koa jwt的后端基础框架
05-19
Koa是一个基于Node.js平台的下一代web开发框架,它采用了ES6的特性,基于async/await实现异步流程控制。路由是指将请求的URL路径(或者URL+请求方法)映射到具体的处理函数上的过程,这个过程就是路由。koa-router是...
Node.js Koa2使用JWT进行鉴权的方法示例
01-20
通过以上步骤,我们已经在Node.js Koa2环境实现了JWT鉴权。这种鉴权方式具有无状态、安全高效的特点,适合于前后端分离的项目。但是需要注意,虽然JWT自身包含有效期,但仍然需要在服务器端存储用户信息以便在JWT...
Node.jsKoa实现JWT用户认证方法
01-02
本文介绍了Node.jsKoa实现JWT用户认证方法,分享给大家,具体如下: 一、前置知识 基于Token的身份验证 Koajs 文文档 Koa 框架教程 二、环境 Microsoft Visual Studio 2017集成开发环境 Node.js v8.9.4...
koa实战 (三):JWT --Token 登录验证
唐璜Taro的博客
10-01 1147
使用JWT创建token,设置有效时间,返回数据等,然后将token返回到前端调用处, 前端登录处调用后端接口,然后接收到token后,然后将token存储到本地的浏览器
koa2实现token vue如何使用token
m0_51354601的博客
04-07 935
在Vue使用token,可以将token存储在浏览器的localStorage,在每次请求时从localStorage获取token并加入请求头。需要注意的是,每次请求都应该将token加入请求头,可以在axios的拦截器实现该功能。
koa实现jwt登陆返回token,公钥私钥进行验证
weixin_45389051的博客
02-07 682
为了安全起见,设置token的时候我们都会用自己的私钥,然后别人调用验证的时候用公钥 那第一步肯定是先获取我们的公钥和私钥了 MAC和Windows不一样,我这里只说mac怎么获取… 创建一个文件夹,然后cd到这个文件夹里面 完成这几个命令即可 那第二步肯定是登陆时候返回token了 先安装我们的jwt插件 cnpm I jsonwebtoken --save 我把私钥弄成了一个环境变量 const PRIVATE_KEY = fs.readFileSync(path.resolve(__dirname
NodeJs】基于nodejs加koa2搭建一个的后端服务框架并实现一个简单的token生成及校验功能
lixiaosenlin的专栏
12-24 2118
背景 最近在学习nodejs以及相关框架koa。后来发现学习时是学会了,但是没过多久再想使用时又忘了,于是决定通过一个小demo的形式将所学及所用的知识记录一下,便于日后回顾和使用。 案例介绍 本文将通过一个简单的小案例来搭建一个基于nodejs+koa的后端服务。主要涉及到的功能点有: token生成及校验 token校验间件 不同模块路由拆分及组合 用户登录及信息查询API db相关操作类封装 常用工具类封装 项目目录结构 用到的知识点及第三方库 jsonwebtoken: 用于生成及校
token:jsonwebtokenkoa使用
qq_39579242的博客
06-05 487
1:客户端通过用户名和密码登录 2:服务器验证用户名和密码,若通过,生成token返回给客户端。 3:客户端收到token后以后每次请求的时候都带上这个token,相当于一个令牌,表示我有权限访问了 4:服务器接收(通常在拦截器实现)到该token,然后验证该token的合法性。若该token合法,则通过请求,若token不合法或者过期,返回请求401请求失败。 1.token相比于session,它无需保存在服务器,不占用服务器内存开销。 2.token可以在服务器集群很好的使用:无.
(转)koa-jwt——使用详解
CaseyWei
09-23 1915
简介 github 原文翻译 koa-jwt 主要提供路有权限控制的功能,它会对需要限制的资源请求进行检查 token 默认被携带在Headers 的名为Authorization的键值对koa-jwt也是在该位置获取token 的 也可以使用Cookie来提供令牌 app.use(jwt( { secret: 'shared-secret', passthrough:true })) 通过添加一个passthrough选项来保证始终传递到下一
koa2使用jwt
dan_seek的博客
02-10 1910
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis的缓存的用户信息。随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单 JSON Web Token由三部分组成,它们之间用圆点(.)连接,header.payload.signature header存token类型和签名算法 payl
【决战Koa之巅-7】使用JWT对路由进行授权
冯一朔 - 有思考的程序员
05-17 388
我们目前已经实现了路由和代码自动格式化,那么让我们来继续学一学路由鉴权。
koa jwt token
10-22
Koa JWT Token是一种基于JSON Web TokenJWT)的身份验证机制,它使用node-jsonwebtoken库实现token验证。JWT是一种开放标准,它定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。在Koa应用程序,我们可以使用koa-jwt间件来简化token验证的实现。通过使用koa-jwt,我们可以在全局或局部指定路由鉴权,以确保只有经过身份验证的用户才能访问受保护的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值