Node.js 中如何进行 JWT(JSON Web Tokens)身份验证和授权

于 2024-10-04 20:35:11 发布
阅读量543 收藏 12
点赞数 12
文章标签: node.js json 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63358859/article/details/142706887
版权

目录

JWT 使用场景

JWT 基本概念

常用方法

1. 生成 JWT

2. 验证 JWT

3. 中间件

实践案例

项目实战

封装jwt文件

后端登录接口生成token 设置为响应头

全局路由中间件验证token

前端拦截处理token

提示、技巧和注意事项

JWT 是一种用于安全传输信息的开放标准,它通常用于身份验证和授权。在 Node.js 中,你可以使用库如jsonwebtoken来创建和验证 JWT。JWT 允许你在服务器和客户端之间安全地传递信息,而无需存储会话状态。这使得 JWT 非常适合构建分布式系统,如单页应用(SPA)、移动应用和微服务。

JWT 使用场景

在什么情况下使用 JWT 是有意义的?以下是一些常见的使用场景:

  1. 用户身份验证: JWT 可用于验证用户的身份。当用户登录时,服务器可以为其生成一个 JWT,客户端可以在后续请求中发送这个 JWT 来证明其身份。
  2. 单点登录(SSO): JWT 可以用于实现单点登录,让用户一次登录即可访问多个相关应用,而无需重复登录。
  3. API 授权: 在 API 调用中,JWT 可以包含授权信息,以便在服务器端验证用户是否有权限执行特定操作。
  4. 密码重置: JWT 可用于安全地生成包含重置密码令牌的链接,以允许用户重置其密码。
  5. 移动应用认证: 移动应用可以使用 JWT 来与后端服务器进行身份验证,确保只有经过授权的用户可以访问后端资源。

JWT 基本概念

在 Node.js 中使用 JWT,你需要了解以下基本概念:

  1. JWT 结构: JWT 由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。头部包含算法和令牌类型,载荷包含要传递的信息,签名用于验证令牌的真实性。
  2. 密钥: 生成和验证 JWT 时,你需要一个密钥。密钥可以是对称密钥(使用相同的密钥进行签名和验证)或非对称密钥(使用不同的密钥进行签名和验证)。
  3. 签名验证: 接收 JWT 的服务器使用密钥验证签名以确保 JWT 未被篡改。如果签名验证成功,服务器可以信任 JWT 中的信息。

常用方法

以下是在 Node.js 中进行 JWT 身份验证和授权的常用方法:

1. 生成 JWT

使用jsonwebtoken库可以生成 JWT。首先,你需要安装该库:

npm install jsonwebtoken

然后,你可以使用以下代码生成 JWT:

const jwt = require('jsonwebtoken');

const payload = { userId: 123, role: 'admin' };
const secretKey = 'your-secret-key';

const token = jwt.sign(payload, secretKey, { expiresIn: '1h' });

2. 验证 JWT

服务器收到 JWT 后,需要验证其真实性。使用以下代码验证 JWT:

const jwt = require('jsonwebtoken');

const token = 'your-jwt-token';
const secretKey = 'your-secret-key';

try {
  const decoded = jwt.verify(token, secretKey);
  console.log(decoded);
} catch (error) {
  console.error('JWT verification failed');
}

3. 中间件

在 Express.js 中,你可以创建 JWT 验证中间件来保护特定路由。以下是一个示例:

const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';

function authenticateToken(req, res, next) {
  const token = req.header('Authorization');
  if (!token) return res.status(401).send('Access denied');

  try {
    const decoded = jwt.verify(token, secretKey);
    req.user = decoded;
    next();
  } catch (error) {
    res.status(403).send('Invalid token');
  }
}

实践案例

让我们通过一个实际案例来演示如何在 Node.js 中进行 JWT 身份验证和授权。我们将创建一个简单的 Express.js 应用,并使用 JWT 来保护一个受限的路由。

const express = require('express');
const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';

const app = express();
app.use(express.json());

// 登录路由,生成JWT
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  // 在实际应用中,这里会验证用户名和密码
  if (username === 'user' && password === 'password') {
    const payload = { username };
    const token = jwt.sign(payload, secretKey, { expiresIn: '1h' });
    res.json({ token });
  } else {
    res.status(401).json({ error: 'Authentication failed' });
  }
});

// 受保护的路由,需要JWT验证
app.get('/protected', authenticateToken, (req, res) => {
  res.json({ message: 'This is a protected route', user: req.user });
});

function authenticateToken(req, res, next) {
  const token = req.header('Authorization');
  if (!token) return res.status(401).send('Access denied');

  try {
    const decoded = jwt.verify(token, secretKey);
    req.user = decoded;
    next();
  } catch (error) {
    res.status(403).send('Invalid token');
  }
}

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

在上面的示例中,我们创建了一个登录路由,生成 JWT 并将其返回给客户端。然后,我们创建了一个受保护的路由,使用authenticateToken中间件来验证 JWT。如果 JWT 验证成功,用户将能够访问受保护的路由。

项目实战

封装jwt文件

const jsonwebtoken = require("jsonwebtoken");
const secrcet = "贾公子";
const JWT = {
  // 生成token
  generate(value, exprires) {
    // 加密内容 密钥 过期时间
    return jsonwebtoken.sign(value, secrcet, { expiresIn: exprires });
  },
  // token 解密
  verify(token) {
    try {
      return jsonwebtoken.verify(token, secrcet);
    } catch (error) {
      return false;
    }
  },
};

module.exports = JWT;

后端登录接口生成token 设置为响应头

   login: async (req, res) => {
        console.log(req.body);
        // req.body
        var result = await UserService.login(req.body)
        if (result.length == 0) {
            res.send({
                code: '-1',
                error: '用户名密码不匹配'
            })
        } else {
            // 生成token 
            const token = JWT.generate({
                _id: result[0]._id,
                username: result[0].username
            }, '1d')
            res.header('Authoization', token)
            res.send({
                ActionType: 'ok',
                data: {
                    username: result[0].username,
                    gender: result[0].gender ? result[0].gender : 0, //性别 0 1 2
                    introduction: result[0].introduction,//简介
                    avatar: result[0].avatar,
                    role: result[0].role,//管理员1 编辑2
                }
            })
        }
    },

全局路由中间件验证token

  // 如果token有效,next()
  // 如果token过期了,返回401

每次访问刷新token 延续token

app.use((req, res, next) => {
  // 如果token有效,next()
  // 如果token过期了,返回401
  if (req.url == '/adminapi/user/login') {
    next()
    return
  }
  const token = req.headers['authoization'].split(' ')[1]
  if (token) {
    let payload = JWT.verify(token)
    console.log(payload);
    if (payload) {
      const newToken = JWT.generate({
        _id: payload._id,
        username: payload.username
      }, '1d')
      res.header('Authoization', newToken)
      next()
    } else {
      res.status(401).send({ errCode: '-1', errorInfo: 'token过期' })
    }


  }

前端拦截处理token

import axios from 'axios'; // 引入axios
axios.interceptors.request.use(Config => {
    const token = localStorage.getItem('token')
    Config.headers.Authoization = `Beare ${token}`
    return Config
})
axios.interceptors.response.use(function (response) {
    // console.log(response.headers);
    const { authoization } = response.headers
    authoization && localStorage.setItem('token', authoization)
    return response
}, function (error) {
    const { status } = error.response
    if (status == 401) {
        localStorage.removeItem('token')
        window.location.href = '#/login'
        return Promise.reject(error)
    }
})


 

提示、技巧和注意事项

  • 安全存储密钥: 密钥是 JWT 的关键部分,应安全存储。不要硬编码密钥,最好从环境变量或配置文件中读取。
  • 定期刷新令牌: 为 JWT 设置适当的到期时间,以降低安全风险。客户端应定期获取新的 JWT 令牌。
  • 不要在 JWT 中存储敏感信息: 避免在 JWT 中存储敏感信息,因为 JWT 可以被解码。如果需要存储敏感信息,应使用加密而不是签名。
     

前端 贾公子
关注
api-auth-jwt:使用JWT进行Node.js api身份验证
02-03
本篇文章将深入探讨如何在Node.js环境使用JSON Web Tokens (JWT) 进行API的身份验证。 **JSON Web Tokens (JWT)** JWT是一种轻量级的身份验证授权机制,用于在各方之间安全地传输信息。它以JSON对象的形式编码...
authJWT:这是使用MERN(MongoDB,Express.js,React,Node.JS)和JWT的用户身份验证授权
05-25
在IT行业,用户身份验证授权Web应用安全的核心部分,尤其是在现代的MERN(MongoDB,Express.js,React,Node.js)堆栈。这个名为"authJWT"的项目专注于利用JWTJSON Web Tokens)来实现这一目标。以下是...
Node.js-Node.jsExpress.js身份验证API样板
08-10
**Node.js与Express.js简介** Node.js是一款基于Chrome V8引擎的...在`node-express-api-auth-master`项目,我们可以深入研究其代码实现,了解身份验证的具体细节,这对于学习和实践Web应用安全有着重要的价值。
cursMeanStack5:使用 node.js、express、mongoose、jwt 和 bcrypt 进行身份验证
06-23
在这个特定的课程“cursMeanStack5”,我们将重点讨论使用Node.js、Express、Mongoose、JSON Web Tokens (JWT) 和 bcrypt 进行身份验证的相关知识点。 **1. Node.js** Node.js是一个开放源代码、跨平台的JavaScript...
node_passport_auth:使用Passport JS和JWTJWT进行Node.js身份验证
05-15
Node.js环境,Passport.js是一个强大的身份验证间件,而JSON Web Tokens(JWT)则是一种流行的、轻量级的认证机制。本项目"node_passport_auth"将这两种技术结合,为Web应用提供了安全的用户身份验证解决方案...
Node.JS 版本管理工具 Fnm 安装及配置(Windows)
最新发布
高大哥
09-30 976
Fnm 可以快速管理和切换不同版本的 Node.js,本文将介绍如何在 Windows 上安装和配置 Fnm。
基于Node.js+Express+MySQL+VUE科研成果网站发布查看科研信息科研成果论文下载免费安装部署
计算机程序开发设计
09-30 1467
构建一个基于Spring Boot、Java Web、J2EE、MySQL数据库以及Vue前后端分离的科研成果网站,可以实现科研信息的发布、查看以及科研成果论文的下载等功能。
node.js版本管理工具--nvm安装教程及配置(windows)
Waitfor_Me的博客
09-30 794
2.新建系统变量NODE_PATH,变量值为node.js的安装路径下的node_modules目录。下滑找到nvm-setup.zip nvm-setup.exe也行,zip只是多了个压缩包。node -v //查看现在node.js使用的是哪个版本。nvm list //查看node.js已安装的版本。由于我们安装了多个node.js所以配置的时候都要配置。2.在cmdnode.js的各个版本进行配置。查看nvm可支持下载的node.js版本。
话术挂断之后是否处理事件
H4_9Y的博客
09-30 483
流程:自动外呼进入机器人话术。问题:在机器人放音时用户挂断后,话术还会继续匹配流程,如果匹配上的是放音节点,还会进行放音,那么在数据库表就会多出一条放音记录。出现这个问题是因为在cti.json文件配置了,该配置的作用:挂断之后是否继续处理事件,如果不开启,用户说话之后没等ASR识别完成就挂机,会丢失识别结果,开启后会有complete事件参数HANGUP(F说话内容);如果开启,在挂断之后会继续处理事件。
遥感影像-实例分割数据集:iSAID 从切图到YOLO格式数据集制作详细介绍
GIS潮流
09-30 1053
开源数据集isaid标注包含实例分割,但是原始影像太大,很吃显存,一般显卡无法用原始影像直接训练,所以需要对影像进行裁剪,并生成对应的标签,因为想用yolo系列跑模型,所以将标签需要转为txt格式。
点评项目-2-完善注册登录业务
m0_75138009的博客
09-29 543
需要处理的业务:在网页发送 /user/code 路径下的 post 请求后,我们需要检验手机号后,向合法的手机号发送一个随机生成的电话号。
vue3打包疯狂报错
雨果的博客
09-30 314
打包的时候报错很多Cannot find name ‘xxx‘。但是npm run dev 是运行正常的。package.json的vue-tsc --noEmit 删掉就可以了。
windows美化终端
qq_35530330的博客
09-28 396
mac os有oh-my-zshitrem2,做终端美化;windows也有对应的解决方案,即oh-my-poshConemu。
UE5.4.3 Replay 重播回放系统
weixin_42318094的博客
09-30 532
这是ue5.4.3使用Replay system方法实现运行运行时的录屏回放功能的一个示例,用与精彩瞬间回放功能
pytest
Mostan727的博客
09-27 1006
针对软件开发最小的单元(函数,方法)进行正确性位置测试。
WPF的switch选择
Vae2437426397的博客
09-30 376
可以不用json序列话来实现键值对的功能,就是switch语句- 可以用这个方法做一个简单的键值表。
某星球预约抢票脚本
三维点云技术探索
09-30 164
Python脚本是一个自动化工具,用于监控即将开售的演出票务信息,并更新一个Markdown文件(`README.md`)来显示即将开售的演出列表。- main` 函数:实例化`PxqShowMonitor`,运行并获取消息,然后将消息插入到`README.md`的指定部分。- run方法:主要的执行流程,获取所有城市的演出列表,筛选出三天内即将开售的演出,并去重,然后格式化成消息字符串。3. 数据处理:对获取的演出数据进行过滤,只保留三天内开始售票的演出,并进行去重处理。PxqShowMonitor类。
yolov8实例分割重要图片
海涛高软
09-30 279
FR:徐海涛(hunkxu)
【怎样基于Okhttp3来实现各种各样的远程调用,表单、JSON、文件、文件流等待】
风一样的男子
09-27 395
基于Okhttp3来实现各种各样的网络调用,支持表单、json、文件、网络流等等
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值