node jwt权限校验

最新推荐文章于 2024-04-17 16:22:30 发布
最新推荐文章于 2024-04-17 16:22:30 发布
阅读量1.4k 收藏 2
点赞数 2
分类专栏: node 文章标签: node koa2 jwt 登录验证 权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56303170/article/details/124200579
版权

JWT权限校验

每当用户登录的时候,后端将传递给前端一个token,此后前端每次发送请求都会携带token

JWT的常用方法介绍

生成token

jwt.sign(payload, secretOrPrivateKey, [options, callback])

  • payload:json对象或者是可json化的buffer或字符串,这个对象可以存储用户id,会话信息等,这里的信息都是可以使用jwt.verify()方法拿到的.。
  • secretOrPrivateKey:密钥
  • options:参数,JSON对象
    • expiresIn:表示有效期 不带单位默认为秒

比如生成一个token,包含用户的id,设定有效期为1小时

const jwt = require('jsonwebtoken')
let token = jwt.sign({user: '1234'}, 'Fizz', {expiresIn: 60 * 60})
console.log(token)

解析验证token

jwt.verify(token, secretOrPublicKey, [options, callback])

  • token:token字符串 由jwt.sign()方法生成的
  • secretOrPublicKey:密钥,与生成token时的密钥必须相同
  • options:可以设置一些解密的方法
jwt.verify(token, 'Fizz'

创建并发送token过程

温馨提示:不要过多关注代码本身,理解整个业务流程思想

  1. 请求接口,获取输入的账号(或者为email)和密码,传入到emailLogin处理函数中
router.post('/', async (ctx, next) => {
    // 此处为经过校验器后的包含ctx的对象
    const v = await new TokenValidator().validate(ctx)
    let token
    // 此处通过登录方式调用不同的验证方法
    switch (v.get('body.type')) {
        case LoginType.USER_EMAIL:
            token =  await emailLogin(v.get('body.account'), v.get('body.secret'))
            break;
        case LoginType.USER_MINI_PROGRAM:
            break;
        case LoginType.USER_MOBILE:
            break;
        default:
            throw new ParameterException('没有对应的处理函数')
    }
    ctx.body = new Success('获取token成功', token)

})
  1. emailLogin处理函数

verifyEmailPassword函数主要是对传入的accountsecret在数据库中进行比对,

如果数据有所对应的数据,那么就调用generateToken创建token并返回

async function emailLogin(account, secret) {
    const user = await User.verifyEmailPassword(account, secret)
    // 第二个参数代表用户的权限级别
    return  generateToken(user.id, Auth.USER)
}
  1. generateToken创建token
const jwt = require('jsonwebtoken')

const generateToken = function(uid, scope){
    // 获取密钥
    const secretKey = global.config.security.secretKey
    // 获取设定时长
    const expiresIn = global.config.security.expiresIn
    const token = jwt.sign({
        uid,
        scope
    },secretKey,{
        expiresIn
    })
    return token
}

解析token过程

  1. 编写权限处理的中间件
const basicAuth = require('basic-auth')
const jwt = require('jsonwebtoken')
const {Forbidden} = require('../core/http-exception')

class Auth {
    constructor(level) {
        this.level = level || 1
        // 普通用户
        Auth.USER = 8
        // 管理员
        Auth.ADMIN = 16
    }

    get m() {
        return async (ctx,next) => {
            const userToken = basicAuth(ctx.request)
            let errorMessage = 'token不合法'
            // token不存在的情况下
            if (!userToken || !userToken.name) {
                throw new Forbidden(errorMessage)
            }

            // token令牌校验
            try {
                var decode = jwt.verify(userToken.name, global.config.security.secretKey)
            } catch (error) {
                if (error.name === 'TokenExpiredError') {
                    errorMessage = 'token令牌过期'
                }
                throw new Forbidden(errorMessage)
            }
            // 将token中的参数放入ctx中
            ctx.auth = {
                uid:decode.uid,
                scope:decode.scope
            }

            // 用户的权限 < 请求接口的权限
            if (decode.scope < this.level) {
                errorMessage = '权限不足'
                throw new Forbidden(errorMessage)
            }

            await next()
        }
    }
}

module.exports = Auth

重要部分的拆分

获取token

在获取token的时候,我们需要借助basic-auth的插件,用于获取 http headerauthorization 内的值

const userToken = basicAuth(ctx.request)

解析token

此处注意:我们通过basic-auth插件获取到的token是一个对象,我们真正需要的token位于name

 var decode = jwt.verify(userToken.name, global.config.security.secretKey)

权限的比较

// 用户的权限 < 请求接口的权限
if (decode.scope < this.level) {
    errorMessage = '权限不足'
    throw new Forbidden(errorMessage)
}
TA_WORLD
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT身份验证原理简单讲解与nodejs简单实现
AKGWSB 's blog
08-14 8365
目录前言JWT简单介绍node中使用JWT安装jsonwebtoken包签发token验证token 前言 上一篇【基于token的持久化登录讲解及其实现】讲到token的机制,以及token的2大特性,即:只有服务器能够签发token,服务器可以验证token是否由自己签发。 可是上一篇博客编写的时候,对token的理解还不够深入,上一篇博客的token是最最最基本的token验证,而现在互联网应用的登录验证普遍使用JWT,即 JSON WEB TOKEN 的规范化验证,所以今天来学习一蛤,并且学习如何在
node中使用jwt签发与验证token
weixin_30849591的博客
04-03 216
1.什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 token是在服务端产生的。如果前端使用用户名和密码向服务端发送请求认证,服务端认证成功,那么在服务端会返回token给前端。 前端可以在每次请求的时候带上token证明自己的合法地位。如果token在服务端持久化,那他就是一个永久的身份令牌。 2.什么是jwt jwt,即JSON...
Node.js-nodeexpressjwt实现一个用户登录校验以及权限拦截服务端验证
08-10
node express jwt实现一个用户登录校验以及权限拦截(用户认证与授权)服务端验证
SpringBoot之JWT令牌校验
最新发布
qq_73918355的博客
04-17 3432
您首先定义了一个JWT字符串,模拟了用户传递过来的token。
Node express项目(1)JWT验证
qq_39404437的博客
03-28 1667
node项目+jwt
JWT登录校验
在这个地方会介绍一些前端和后端的开发内容,暂时以JavaEE和Vue为主。
06-06 807
springboot,登录jwtjwt解析,token,拦截器Interceptor
nodejs中使用jwt
hanq2016的博客
08-11 679
nodejs中使用jwt
Nodejs中的JWT和Session的使用
01-20
最近的项目需要在node服务端做一个用户登录校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
商业源码-编程源码-Abis权限管理系统源码.zip
06-14
11. **框架与技术栈**:Abis权限管理系统可能使用主流的开发框架,如Spring Boot、Django、Node.js等,配合MVC或MVVM模式,以及MySQL、PostgreSQL等数据库。 12. **测试与部署**:源码中可能包含单元测试、集成测试...
管理系统系列--egg-cms是一个中后台管理系统,后端主要由node(egg.js),MySQL,JWT,Sequ.zip
02-25
4. 中间件机制:egg.js支持自定义中间件,可以实现日志记录、权限校验等功能。 5. 模板引擎:可能使用了egg.js内置或第三方的模板引擎,如Nunjucks或Pug,来渲染前端页面。 6. 错误处理:提供统一的错误处理机制,...
vue-router结合vuex实现用户权限控制功能
01-19
为了实现前端校验用户,后端需要在用户登录的时候记录下该用户的状态并加密之后返回给前端。之后该用户的所有请求都应该附带这个加密后的状态,后端取到这个状态解密,并与之前保存的状态对比,以此来判断该用户是否...
基于Uni-app+Node的音乐听歌系统设计与实现.zip
06-23
2. 输入验证:对用户输入进行校验,防止SQL注入等攻击。 3. 访问控制:通过权限管理,限制用户访问特定资源。 总结,这个基于Uni-app+Node的音乐听歌系统设计与实现项目,涵盖了前端框架、后端开发、数据库操作、...
vue2.x后台权限模板
01-26
权限模板中,可能会有自定义的中间件来实现权限校验、日志记录等功能。 9. **Echarts 图表库**:可能用于展示后台数据的统计图表,如用户统计、业务分析等。 10. **单元测试和集成测试**:为了保证代码质量,...
Koa2+MongoDB后台管理系统服务端部分(作为前端,多少带点写后台的倔强).zip
08-03
1. 用户认证:利用JWT(JSON Web Tokens)进行身份验证,确保只有授权用户可以访问特定资源。 2. 权限控制:通过角色-权限模型实现,不同角色有不同的操作权限,如管理员、普通用户等。 3. API接口设计:遵循RESTful...
移动小商城:基于node,包含前后台.zip
05-20
使用JWT(JSON Web Tokens)进行用户认证,保证用户权限的安全控制。 7. **部署与运维**:完成开发后,需要将项目部署到服务器,如阿里云、腾讯云等,同时要考虑负载均衡、日志监控、错误处理和自动备份等运维工作...
毕业设计vue+node.js+mysql校园二手交易网(SPA).zip
02-23
JWT包含用户信息,通过签名保证其完整性,前端在每次请求时携带JWT,后端验证其有效性,以确认用户权限。 8. **前端状态管理(Vuex)**: Vuex是Vue.js的官方状态管理库,它帮助组织和维护应用的状态,使得在组件间...
nodejs jwt java_NodeJS 基于 JWT 实现身份验证(token、自动登陆)
weixin_35993037的博客
02-27 538
JWT 简单的原理介绍JWT(Json Web Token)是一种身份验证及授权方案,简单的说就是调用端调用 api 时,附带上一个由 api 端颁发的 token,以此来验证调用者的授权信息。通过一种加密规则(如 HS256)+ secret 生成一串字符串(token),token 字符串中一般含有过期时间和签名信息,根据签名和过期时间,就可以判断当前 token 是否有效。// newTok...
nodejs jwt java_Nodejs项目中使用token验证,jwt,jsonwebtoken
weixin_39885412的博客
02-27 336
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析.抽空研究了一下nodejs的jwt如何做,下面来记录一下使用的包是"jsonwebtoken":"^8.3.0"主要用到的方法是生成tokenjwt.sign()验证tokenjwt.verify()签名方法:jwt.sign(payload, secretO...
Jwt验证
yyyjuedinging的博客
07-10 1844
json web token 其实就是一个字符串 string令牌1、标头(Header)​ 令牌类型(即jwt) + 使用的签名算法 最后通过Base64编码加密组成字符串变成JWT的一部分。2、有效载荷(Payload)​ 令牌的第二部分,有效负载,包含有关实体和其他数据的声明,除敏感信息,同样使用Base64组码加密组成JWT第二部 分 3、签名(Signature)​ Signature需要使用编码后的header和payload以及我们提供的密钥,再使用header指定的算法(HS256)进行
asp.net core jwt登录校验
11-11
为了实现JWT登录校验,我们需要在ASP.NET Core应用中添加JWT认证中间件,并配置JWT的签名密钥、过期时间等参数。在用户登录成功后,我们可以使用JWT生成器来创建并返回JWT token。在客户端发送请求时,我们可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值