node jwt权限校验

最新推荐文章于 2024-04-17 16:22:30 发布
最新推荐文章于 2024-04-17 16:22:30 发布
阅读量1.4k 收藏 2
点赞数 2
分类专栏: node 文章标签: node koa2 jwt 登录验证 权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56303170/article/details/124200579
版权

JWT权限校验

每当用户登录的时候,后端将传递给前端一个token,此后前端每次发送请求都会携带token

JWT的常用方法介绍

生成token

jwt.sign(payload, secretOrPrivateKey, [options, callback])

  • payload:json对象或者是可json化的buffer或字符串,这个对象可以存储用户id,会话信息等,这里的信息都是可以使用jwt.verify()方法拿到的.。
  • secretOrPrivateKey:密钥
  • options:参数,JSON对象
    • expiresIn:表示有效期 不带单位默认为秒

比如生成一个token,包含用户的id,设定有效期为1小时

const jwt = require('jsonwebtoken')
let token = jwt.sign({user: '1234'}, 'Fizz', {expiresIn: 60 * 60})
console.log(token)

解析验证token

jwt.verify(token, secretOrPublicKey, [options, callback])

  • token:token字符串 由jwt.sign()方法生成的
  • secretOrPublicKey:密钥,与生成token时的密钥必须相同
  • options:可以设置一些解密的方法
jwt.verify(token, 'Fizz'

创建并发送token过程

温馨提示:不要过多关注代码本身,理解整个业务流程思想

  1. 请求接口,获取输入的账号(或者为email)和密码,传入到emailLogin处理函数中
router.post('/', async (ctx, next) => {
    // 此处为经过校验器后的包含ctx的对象
    const v = await new TokenValidator().validate(ctx)
    let token
    // 此处通过登录方式调用不同的验证方法
    switch (v.get('body.type')) {
        case LoginType.USER_EMAIL:
            token =  await emailLogin(v.get('body.account'), v.get('body.secret'))
            break;
        case LoginType.USER_MINI_PROGRAM:
            break;
        case LoginType.USER_MOBILE:
            break;
        default:
            throw new ParameterException('没有对应的处理函数')
    }
    ctx.body = new Success('获取token成功', token)

})
  1. emailLogin处理函数

verifyEmailPassword函数主要是对传入的accountsecret在数据库中进行比对,

如果数据有所对应的数据,那么就调用generateToken创建token并返回

async function emailLogin(account, secret) {
    const user = await User.verifyEmailPassword(account, secret)
    // 第二个参数代表用户的权限级别
    return  generateToken(user.id, Auth.USER)
}
  1. generateToken创建token
const jwt = require('jsonwebtoken')

const generateToken = function(uid, scope){
    // 获取密钥
    const secretKey = global.config.security.secretKey
    // 获取设定时长
    const expiresIn = global.config.security.expiresIn
    const token = jwt.sign({
        uid,
        scope
    },secretKey,{
        expiresIn
    })
    return token
}

解析token过程

  1. 编写权限处理的中间件
const basicAuth = require('basic-auth')
const jwt = require('jsonwebtoken')
const {Forbidden} = require('../core/http-exception')

class Auth {
    constructor(level) {
        this.level = level || 1
        // 普通用户
        Auth.USER = 8
        // 管理员
        Auth.ADMIN = 16
    }

    get m() {
        return async (ctx,next) => {
            const userToken = basicAuth(ctx.request)
            let errorMessage = 'token不合法'
            // token不存在的情况下
            if (!userToken || !userToken.name) {
                throw new Forbidden(errorMessage)
            }

            // token令牌校验
            try {
                var decode = jwt.verify(userToken.name, global.config.security.secretKey)
            } catch (error) {
                if (error.name === 'TokenExpiredError') {
                    errorMessage = 'token令牌过期'
                }
                throw new Forbidden(errorMessage)
            }
            // 将token中的参数放入ctx中
            ctx.auth = {
                uid:decode.uid,
                scope:decode.scope
            }

            // 用户的权限 < 请求接口的权限
            if (decode.scope < this.level) {
                errorMessage = '权限不足'
                throw new Forbidden(errorMessage)
            }

            await next()
        }
    }
}

module.exports = Auth

重要部分的拆分

获取token

在获取token的时候,我们需要借助basic-auth的插件,用于获取 http headerauthorization 内的值

const userToken = basicAuth(ctx.request)

解析token

此处注意:我们通过basic-auth插件获取到的token是一个对象,我们真正需要的token位于name

 var decode = jwt.verify(userToken.name, global.config.security.secretKey)

权限的比较

// 用户的权限 < 请求接口的权限
if (decode.scope < this.level) {
    errorMessage = '权限不足'
    throw new Forbidden(errorMessage)
}
TA_WORLD
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js-nodeexpressjwt实现一个用户登录校验以及权限拦截服务端验证
08-10
在本文中,我们将深入探讨如何使用Node.js、Express框架以及JSON Web Tokens (JWT)来实现一个用户登录校验权限拦截系统。这个系统的主要目标是确保服务端的安全性,进行用户认证与授权。 首先,我们需要了解...
node中使用jwt签发与验证token
weixin_30849591的博客
04-03 216
1.什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 token是在服务端产生的。如果前端使用用户名和密码向服务端发送请求认证,服务端认证成功,那么在服务端会返回token给前端。 前端可以在每次请求的时候带上token证明自己的合法地位。如果token在服务端持久化,那他就是一个永久的身份令牌。 2.什么是jwt jwt,即JSON...
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
SpringBoot之JWT令牌校验
最新发布
qq_73918355的博客
04-17 3432
您首先定义了一个JWT字符串,模拟了用户传递过来的token。
JWT使用简介
少年小子的博客
02-01 5112
本文主要简单介绍了什么是JWT和在JavaEE环境下如何使用JWT,简述JWT技术能够为Web开发带来什么样的帮助。
JWT的认识学习
m0_46392290的博客
03-13 297
什么是JWT JWT简称json、web、token,通过Json形式作为web中的令牌,用户各方是之间安全的将信息作为json对象进行传输,在数据传输过程中还可以完成数据加密、签名等相关处理。 授权 一旦用户登录,每个后续的请求将包括JWT,从而允许用户访问令牌允许访问路由,服务和资源。 信息交换因为可以对JWT进行签名(例如,使用公钥/私钥),这样我们就可以确定发件人是他们所说的发件人。签名是使用标头和有效负载计算的,因此您还可以验证内同是否被篡改。 JWT的认证 认证流程 1.首先是前端web表单将自
JWT加密及认证
qq_36819905的博客
06-30 634
什么是JWT呢? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT的优点:无需在服务端存储用户数据,减轻服务端压力,轻量级,json风格,比
hutool工具使用JWT.verify进行token验证,解析token,JWTUtil.parseToken
weixin_44728473的博客
06-30 2万+
hutool工具使用JWT.verify进行token验证,解析token,JWTUtil.parseToken
Nodejs中的JWT和Session的使用
01-20
最近的项目需要在node服务端做一个用户登录校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
商业源码-编程源码-Abis权限管理系统源码.zip
06-14
11. **框架与技术栈**:Abis权限管理系统可能使用主流的开发框架,如Spring Boot、Django、Node.js等,配合MVC或MVVM模式,以及MySQL、PostgreSQL等数据库。 12. **测试与部署**:源码中可能包含单元测试、集成测试...
管理系统系列--egg-cms是一个中后台管理系统,后端主要由node(egg.js),MySQL,JWT,Sequ.zip
02-25
4. 中间件机制:egg.js支持自定义中间件,可以实现日志记录、权限校验等功能。 5. 模板引擎:可能使用了egg.js内置或第三方的模板引擎,如Nunjucks或Pug,来渲染前端页面。 6. 错误处理:提供统一的错误处理机制,...
vue-router结合vuex实现用户权限控制功能
01-19
为了实现前端校验用户,后端需要在用户登录的时候记录下该用户的状态并加密之后返回给前端。之后该用户的所有请求都应该附带这个加密后的状态,后端取到这个状态解密,并与之前保存的状态对比,以此来判断该用户是否...
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1836
SpringBoot+Mybatis-plus+Mysql+JWT
Jwt选型和实现
qq_45317823的博客
02-19 492
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
Koa】利用 JWT 实现 token验证
Morilence的博客
02-14 2904
Koa 利用 JWT 实现 token验证一、JSON Web Token 简介二、使用 node-jsonwebtoken 实现验证(一)、安装引用(二)、token签发 —— jwt.sign()(三)、token验证 —— jwt.verify()(四)、负载解码 —— jwt.decode()(五)、验证失败的错误类型三、借助 koa-jwt 中间件简化验证 一、JSON Web Tok...
Node express项目(1)JWT验证
qq_39404437的博客
03-28 1667
node项目+jwt
基于 Token 的身份验证:JSON Web Token
qq_34441176的博客
08-06 5006
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 文章先介绍了一下传统身份验证与基于 JWT 身份...
JWT 详解
weixin_59842401的博客
05-27 202
导入依赖生产JWT的token运行生产JWT,尽管我们的payload信息没有变动。
asp.net core jwt登录校验
11-11
为了实现JWT登录校验,我们需要在ASP.NET Core应用中添加JWT认证中间件,并配置JWT的签名密钥、过期时间等参数。在用户登录成功后,我们可以使用JWT生成器来创建并返回JWT token。在客户端发送请求时,我们可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值