【Node】Koa中通过JWT非对称加密生成Token

已于 2023-02-06 23:07:50 修改
阅读量1.1k 收藏 4
点赞数 1
分类专栏: Node.js 文章标签: node.js
于 2022-07-30 20:02:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53512708/article/details/126076314
版权

目录

一. JWT实现Token机制

1. header

2.  payload

3. signature

二. 非对称加密,生成私钥和公钥

三. Koa中通过JWT非对称加密生成Token

一. JWT实现Token机制

 JWT生成的Token由三部分组成

1. header

alg:采用的加密算法,默认是 HMAC SHA256(HS256),采用同一个密钥进行
加密和解密;

typ:JWT,固定值;

会通过base64Url算法进行编码。

2.  payload

携带的数据,比如我们可以将用户的id和name放到payload中;

默认也会携带iat(issued at),令牌的签发时间;

我们也可以设置过期时间:exp(expiration time);

会通过base64Url算法进行编码。

3. signature

设置一个secretKey,通过将前两个的结果合并后进行HMACSHA256的算法;

HMACSHA256(base64Url(header)+.+base64Url(payload), secretKey);

但是如果secretKey暴露是一件非常危险的事情,因为之后就可以模拟颁发token,
也可以解密token; 

二. 非对称加密,生成私钥和公钥

前面我们提到过,HS256加密算法单一密钥暴露就是非常危险的事情,这个时候我们可以使用非对称加密——RS256;

私钥(private key):用于发布令牌;

公钥(public key):用于验证令牌;

通过cmd以管理员身份运行,创建文件夹keys,cd到对应文件夹下,输入openssl,

genrsa -out private.key 1024

生成私钥保存在对应文件夹

rsa -in private.key -pubout -out public.key

 生成公钥保存在对应文件夹

三. Koa中通过JWT非对称加密生成Token

src/controller/user.controller.js

// src/controller/user.controller.js
const jwt = require("jsonwebtoken")
const {
  PRIVATE_KEY
} = require("../app/config")

class UserController {
  async login(ctx, next) {
    const userInfo = ctx.userInfo
    const {
      customer_number,
      customer_phone_number
    } = userInfo

    // 生成签名
    const token = jwt.sign({
      customer_number,
      customer_phone_number
    }, PRIVATE_KEY, {
      expiresIn: 60 * 60 * 24, // 过期时间(单位:s秒)
      algorithm: 'RS256' // 指定算法
    })

    ctx.body = {
      token: `Bearer ${token}`,
      userInfo
    }
  }

  test(ctx) {
    ctx.body = "test"
  }
}

module.exports = new UserController()

重点关注login方法即可~

ctx.userInfo是我在上一个中间件verifyLoginInfo中保存的用户信息,从用户信息中我取出了其中的customer_number用户编号与customer_phone_number用户手机号作为上面提到JWT中的payload;

PRIVATE_KEY是通过上述方法在本地生成的私钥;

expiresIn是过期时间;

algorithm是选择的加密算法;

生成token后保存在ctx.body中传出

以上完成了派发令牌的过程。

PRIVATE_KEY和PUBLIC_KEY获取的过程如下:

src/app/config.js

// src/app/config.js
const dotenv = require("dotenv")
const fs = require("fs")
const path = require("path")

dotenv.config()

const PRIVATE_KEY = fs.readFileSync(path.resolve(__dirname, './keys/private.key'));
const PUBLIC_KEY = fs.readFileSync(path.resolve(__dirname, './keys/public.key'));

module.exports = {
  APP_HOST,
  APP_PORT,
  MYSQL_HOST,
  MYSQL_PORT,
  MYSQL_DATABASE,
  MYSQL_USER,
  MYSQL_PASSWORD
} = process.env

module.exports.PRIVATE_KEY = PRIVATE_KEY
module.exports.PUBLIC_KEY = PUBLIC_KEY

src/middleware/user.middleware.js

// src/middleware/user.middleware.js
const errorType = require("../constants/error-types")
const userService = require("../service/user.service")
const jwt = require("jsonwebtoken")
const { PUBLIC_KEY } = require('../app/config')

const verifyLoginInfo = async(ctx, next) => {
  const loginInfo = ctx.request.body

  const result = await userService.login(loginInfo)
  console.log("verifyLoginInfo", result);

  if (result.length === 0) {
    const error = new Error(errorType.PHONE_OR_PASSWORD_IS_INCORRECT)
    return ctx.app.emit("error", error, ctx)
  }

  ctx.userInfo = result[0]

  next()
}

const verifyAuth = async (ctx, next) => {
  console.log("验证授权的middleware~");

  const authorization = ctx.header.authorization

  if (!authorization) {
    const error = new Error(errorType.NO_AUTHORIZATION)
    return ctx.app.emit("error", error, ctx)
  }
  const token = authorization.replace('Bearer ', '');

  // 倘若jwt的验证失败会自动抛出错误,因此需要通过try-catch包裹
  try {
    // 倘若jwt的验证成功,返回值为用户传入的payload+令牌派发时间+令牌过期时间
    const result = jwt.verify(token, PUBLIC_KEY, {
      algorithms: ["RS256"]
    })
    console.log("JWT payload:", result);
    await next();
  } catch(err) {
    const error = new Error(errorType.AUTHORIZATION_EXPIRED_OR_INCORRECT);
    ctx.app.emit('error', error, ctx);
  }
}

module.exports = {
  verifyLoginInfo,
  verifyAuth
}

重点关注verifyAuth函数即可~

从ctx.header.authorization中获取Authorization授权,再去除开头的"Bearer "即得到token;

传入token,PUBLIC_KEY,对应的加密算法名称进行jwt的验证;

需要注意的是:倘若jwt的验证失败会自动抛出错误,因此需要通过try-catch包裹;

倘若jwt的验证成功,返回值为用户传入的payload+令牌派发时间+令牌过期时间(以秒s为单位的时间戳);

以上完成了验证令牌的过程。

Postman测试

派发令牌

验证令牌

参考资料:深入Node.js技术栈-学习视频教程-腾讯课堂 

名字太长不好不好
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NodeJs】基于nodejs加koa2搭建一个的后端服务框架并实现一个简单的token生成及校验功能
lixiaosenlin的专栏
12-24 2117
背景 最近在学习nodejs以及相关框架koa。后来发现学习时是学会了,但是没过多久再想使用时又忘了,于是决定通过一个小demo的形式将所学及所用的知识记录一下,便于日后回顾和使用。 案例介绍 本文将通过一个简单的小案例来搭建一个基于nodejs+koa的后端服务。主要涉及到的功能点有: token生成及校验 token校验间件 不同模块路由拆分及组合 用户登录及信息查询API db相关操作类封装 常用工具类封装 项目目录结构 用到的知识点及第三方库 jsonwebtoken: 用于生成及校
token:jsonwebtokenkoa使用
qq_39579242的博客
06-05 486
1:客户端通过用户名和密码登录 2:服务器验证用户名和密码,若通过,生成token返回给客户端。 3:客户端收到token后以后每次请求的时候都带上这个token,相当于一个令牌,表示我有权限访问了 4:服务器接收(通常在拦截器实现)到该token,然后验证该token的合法性。若该token合法,则通过请求,若token不合法或者过期,返回请求401请求失败。 1.token相比于session,它无需保存在服务器,不占用服务器内存开销。 2.token可以在服务器集群很好的使用:无.
公钥私钥的生成nodejwt非对称加密的实现
HOMEXS的博客
02-04 632
node
koa如何进行token设置和进行token过期验证
qq_56989560的博客
09-01 1585
koa如何进行token设置和进行token过期验证
Vue Koa 实现token无感刷新
最新发布
Yue
06-14 126
request.ts。
koa2实现token验证
weixin_43801907的博客
04-04 2467
token验证的理解 token验证是一种web安全的手段,我们要求来自客户端的请求必须携带token(登录请求除外),服务端每次处理请求都会验证token,验证通过则继续后续逻辑,否则返回相应状态码打回 用到的包 npm install jsonwebtoken --save 复制代码通过jsonwebtoken可以创建token或解码已有token获取信息 const jwt = requ...
koa2实现token vue如何使用token
m0_51354601的博客
04-07 935
在Vue使用token,可以将token存储在浏览器的localStorage,在每次请求时从localStorage获取token并加入请求头。需要注意的是,每次请求都应该将token加入请求头,可以在axios的拦截器实现该功能。
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
node koa jwt的后端基础框架
05-19
Koa是一个基于Node.js平台的下一代web开发框架,它采用了ES6的特性,基于async/await实现异步流程控制。路由是指将请求的URL路径(或者URL+请求方法)映射到具体的处理函数上的过程,这个过程就是路由。koa-router是...
Node.js Koa2使用JWT进行鉴权的方法示例
01-20
通过以上步骤,我们已经在Node.js Koa2环境实现了JWT鉴权。这种鉴权方式具有无状态、安全高效的特点,适合于前后端分离的项目。但是需要注意,虽然JWT自身包含有效期,但仍然需要在服务器端存储用户信息以便在JWT...
Node.jsKoa实现JWT用户认证方法
01-02
本文介绍了Node.jsKoa实现JWT用户认证方法,分享给大家,具体如下: 一、前置知识 基于Token的身份验证 Koajs 文文档 Koa 框架教程 二、环境 Microsoft Visual Studio 2017集成开发环境 Node.js v8.9.4...
【决战Koa之巅-7】使用JWT对路由进行授权
冯一朔 - 有思考的程序员
05-17 381
我们目前已经实现了路由和代码自动格式化,那么让我们来继续学一学路由鉴权。
koa2项目jwt结合jsonwebtoken进行加密和验签
黎小小的博客
11-30 797
koa-generator快速生成koa项目 koa2 admin-servernpm run dev启动服务。
koa2 + jsonwebtoken + koa-jwt:实现node token验证
weixin_44384273的博客
05-14 516
koa2 + jsonwebtoken + koa-jwt:实现node token验证
使用NodeJS实现JWT原理
神以灵的博客
09-19 780
使用NodeJS实现JWT原理 jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token 为什么需要会话管理 我们用nodejs为前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户的上下文进行操作。所以出现了cookies session还有jwt这几种技术的出现, 都是对HTTP协议的一个补充。使得我们可以用HTTP协议+状态管理构
JWT非对称加密公私钥加解密可设置过期时间【Spring安全框架的JwtHelper】【jsonwebtoken.JJWTJwts】
竹林幽深
10-03 1151
rsa
Node.js 应用:Koa2 使用 JWT 进行鉴权
weixin_30745553的博客
08-17 823
前言 在前后端分离的开发,通过 Restful API 进行数据交互时,如果没有对 API 进行保护,那么别人就可以很容易地获取并调用这些 API 进行操作。那么服务器端要如何进行鉴权呢? Json Web Token 简称为 JWT,它定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。 ...
推荐使用:Koa-JWT,安全的Koa间件实现JWT验证
gitblog_00063的博客
05-14 460
推荐使用:Koa-JWT,安全的Koa间件实现JWT验证 项目地址:https://gitcode.com/koajs/jwt 在构建现代Web应用时,确保用户数据的安全是至关重要的。Koa-JWT是一个强大的Koa间件,用于验证JSON Web Tokens(JWT),以保护你的API免受未经授权的访问。下面,我们来深入了解一下这个项目。 项目介绍 Koa-JWT提供了一种简单的方法来处理H...
koa jwt token
10-22
Koa JWT Token是一种基于JSON Web TokenJWT)的身份验证机制,它使用node-jsonwebtoken库实现token验证。JWT是一种开放标准,它定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。在Koa应用程序,我们可以使用koa-jwt间件来简化token验证的实现。通过使用koa-jwt,我们可以在全局或局部指定路由鉴权,以确保只有经过身份验证的用户才能访问受保护的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值