nodejs express中使用token验证机制

已于 2022-02-09 14:17:17 修改
阅读量2.5k 收藏 29
点赞数 4
分类专栏: 前端 nodejs express 文章标签: 前端 javascript es6 nodejs
于 2021-11-21 23:22:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/small_white_123/article/details/121462359
版权
前端 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
nodejs
3 篇文章 0 订阅
订阅专栏
express
1 篇文章 0 订阅
订阅专栏

token身份认证

基本概念

了解Session认证的局限性

Session 认证机制需要配合Cookie才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。

注意:

  • 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制。
  • 当前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制。

什么是token

JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。

jwt的原理

在这里插入图片描述
总结

  1. 用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。
  2. 服务器通过还原 Token 字符串的形式来认证用户的身份。

jwt的组成

JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效荷载)、Signature(签名)

三者之间使用英文的“.”分隔,格式如下:

Header.Payload.Signature

// 列如
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjp7Im5hbWUiOiJ6cyIsInBhc3N3b3JkIjoxMjN9LCJpYXQiOjE2Mzc1MDcyNzksImV4cCI6MTYzNzUxODA3OX0.0o9PCv-11SxM8TgMns--S0D-ZnidYZdXLk13V_B35B0

JWT的三个部分各自代表的含义

JWT 的三个组成部分,从前到后分别是 Header、Payload、Signature。

其中:

  • payload** 部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。
  • Header 和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性。
    在这里插入图片描述

jwt的使用方式

  • 前端
  1. 客户端收到服务器返回的 JWT 之后,通常会将它储存在localStoragesessionStorage 中。
  2. 此后,客户端每次与服务器通信,都要带上这个 JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中,格式如下:
    Authorization: Bearer [token]
  • 后端
    1. 登录成功, 生成token, 返回给浏览器
    2. 所有的接口中. 判断请求头是否携带了token(登录页面除外)

在express中使用jwt

运行如下命令,安装如下两个 JWT 相关的包:

npm i jsonwebtoken express-jwt

其中:

定义secret密钥

为了保证 JWT 字符串的安全性,防止 JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密的 secret 密钥:

①当生成 JWT 字符串的时候,需要使用 secret 密钥对用户的信息进行加密,最终得到加密好的 JWT 字符串

②当把 JWT 字符串解析还原成 JSON 对象的时候,需要使用 secret 密钥进行解密

const SECRET_KEY = 'login2021'

在登录成功后生成 JWT 字符串

调用 jsonwebtoken 包提供的 sign() 方法,将用户的信息加密成 JWT 字符串,响应给客户端:

// v1Router.js
const v1Router = express.Router()
const jwt = require('jsonwebtoken')
const SECRET_KEY = 'login2021'

// 登录接口
v1Router.post('/login', (req, res) => {
  // 校验密码....(此处省略), 如果校验成功, 生成jwt
  // 参数1: 生成到token中的信息
  // 参数2: 密钥
  // 参数3: token的有效时间: 60, "2 days", "10h", "7d"
  const token = jwt.sign(
    { user: { name: 'zs', password: 123 } },
    SECRET_KEY,
    { expiresIn: '3h' }
  )
  console.log('🚀 → token', token)
  res.send({
    status: 200,
    message: 'login success!',
    token,
  })
})

解析 JWT字符串 还原为JSON对象

客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的 Authorization 字段,将 Token 字符串发送到服务器进行身份认证。

此时,服务器可以通过 express-jwt 这个中间件,自动将客户端发送过来的 Token 解析还原成 JSON 对象:

// app.js
// 导入校验token的模块, 解析JWT字符串, 还原成 JSON 对象 的模块
const parseJwt = require('express-jwt')
const SECRET_KEY = 'login2021' // 与生成token的密钥要一致!

// 1. 使用中间件解析token
// 2. 使用 .unless 排除无需校验的路由(比如: 登录)
app.use(
  parseJwt({
      sectet: SECRET_KEY,
      algorithms: ['HS256'], // 使用何种加密算法解析
  })
    .unless({ path: ['/v1/login'] }) // 登录页无需校验
)

使用req.user 获取用户信息

当 express-jwt 这个中间件配置成功之后,即可在那些有权限的接口中,使用 req.user 对象,来访问从 JWT 字符串中解析出来的用户信息了,示例代码如下:

// 这是一个有权限的api接口
app.get('/admin/getInfo', (req, res) => {
	console.log(req.user)
	res.send({
		status: 200,
		message: 'success',
		data: req.user,
	})
})

错误中间件

统一处理捕获的错误
当使用 express-jwt 解析 Token 字符串时,如果客户端发送过来的 Token 字符串过期或不合法,会产生一个解析失败的错误,影响项目的正常运行。我们可以通过 Express 的错误中间件,捕获这个错误并进行相关的处理,示例代码如下:

// 定义错误中间件
// middleware/errorhandler.js
function errorHandler(err, req, res, next) {
  console.log(err, err.name);
  let code = 500;
  let message = 'Internal Server Error';
  // token解析的错误
  if (err.name === 'UnauthorizedError') {
    code = 401
    message = 'no login'
  }
  res.statusCode = code;
  res.send({
    status: code,
    message,
  })
}

module.exports = errorHandler

// app.js
const errorhandler = require('middleware')

// 错误中间件写在最后
app.use(errorhandler)

前端如何使用token

  1. 保存token
const token = this.axios.post('v1/login', {...});
localStorage.setItem('token', token);
  1. 请求时 在headers中添加Authorization携带token
const axios = require('axios').default;
const instance = axios.create({
    baseURL: 'http://localhost:8001/v1',
});

// 可在axios拦截中统一添加
instance.interceptors.request.use((config) => {
    config.headers = {
        ...config.headers,
        // 如果后端没有添加 'Bearer ', 则需要前端自己拼接
        Authorization: localStorage.getItem('token'),
    }
})

好啦, 今天就分享到这里~!

小垚尧
关注
  • 4
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
nodejs 使用 jwt 验证 token
wwh120105150的博客
06-17 563
配置模块 const JwtStrategy = require('passport-jwt').Strategy, ExtractJwt = require('passport-jwt').ExtractJwt const mongoose = require("mongoose") const User = mongoose.model("users") const opts = {...
rest-api-nodejs-jwt-express-mysql:这是一个使用NodeJSExpress,MySQL并使用JSON-web-token作为身份验证的国家的小型REST Api
05-27
在这个项目,我们探讨了一个基于Node.js、Express、MySQL数据库,并使用JSON Web Token(JWT)进行身份验证的小型REST API的实现。以下是该项目涉及到的主要技术点和知识点: 1. **Node.js**: Node.js是一个开放...
nodejs--开发自己的项目——4.1——用户登录函数模块-token-JWT部分(验证机制)——支持跨域
weixin_47295886的博客
09-18 511
首先将用户信息传递通过浏览器传递给服务器,服务器进行验证,服务器验证之后加密生成token字符串,直接将token字符串响应给浏览器。实现token生成//调用jsonwebtoken的sign()方法,将用户的信息加密生成JWT字符串,响应给客户端。//ES6的语法——需要覆盖字符串的内容——token的安全性:在token加密不推荐保存密码等指之类的敏感信息。字段,将Token发给服务器,服务器将token字符串解析,服务器身份认证成功 响应成功。token实现需要密钥:——使用间件。
Express使用JWT
m0_63400611的博客
04-19 5486
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt 其: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
Node.js —— 前后端的身份认证 之用 express 实现 JWT 身份认证
最新发布
迪幻的博客
05-24 1056
本文向大家解读了jwt的认证机制以及在Express框架下如何使用jwt认证
【Node.js】Node.js入门(八):express-jwt
郭老二
11-03 2680
可以使用getToken选项指定从请求提取令牌的自定义函数。客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再把这个token返回给客户端客户端收到token后可以把它存储起来,比如放到cookie客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header携带。
nodejs登录生成token验证
^_^
08-09 2885
开发者向 API 提供商注册应用程序,并获得一个 API 令牌,以便在应用程序进行身份验证和授权,以访问和使用 API 提供的功能和数据。身份验证:在身份验证过程,用户提供凭据(如用户名和密码),服务器验证凭据的有效性后会颁发一个身份验证令牌给用户。这个令牌可以是一个长期有效的持久令牌,也可以是一个短期有效的临时令牌,用于后续的请求证明用户的身份。它可以是一个字符串、数字或其他形式的数据。验证后会把数据返回出来,就可以当时生成token传过去的数据,有了数据那么我们就可以自行获取用户信息。
nodejs实现token校验
creatlh的博客
03-14 490
创建secretKey.js文件。
nodejs实现token机制
weixin_44303404的博客
09-18 3515
token实际是一种身份验证机制,用来防御CSRF攻击。大致的流程是这样的: 用户输入账号密码,前端进行加密处理后传给后端。后端进行验证。 如果验证通过,后端返回一个token作为用户的身份认证令牌给前端。 前端将token存储起来,使用cookie或者localstorage都可以。 每次进行请求,都将token放在Header,后端获取到token之后进行验证:如果token过期,后端返回401错误。如果token没有过期,执行后续操作。 下面通过node来实践一下token机制。 如何创建一个
API-Authentication-NodeJs:使用JWT的API身份验证(JSON Web令牌)。 将n Play插入需要身份验证的任何应用程序NodeJs Express MongoDB和Redis
05-13
这是一种使用JWT的身份验证API,您可以将其插入当前项目,也可以从一个新项目开始。 电子邮件和密码用于身份验证。 遵循MVC模式(即模型)的基于Node.js,Express,MongoDB和Redis的API 看法控制器。 猫鼬用于在...
nodejs实现OAuth2.0授权服务认证
12-23
用户为了使用该服务,必须让”云冲印”读取自己储存在Google上的照片。 传统方法是,用户将自己的Google用户名和密码,告诉”云冲印”,后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。 “云冲印”...
JWT-nodejs:使用nodejsexpress,Bcrypt和Postman的JWT登录身份验证
04-07
在"JWT-nodejs"项目,开发者首先会设置一个Express服务器,配置路由来处理登录请求。接着,服务器会接收用户提交的用户名和密码,使用Bcrypt对密码进行验证。如果验证成功,服务器将生成一个JWT令牌,通常包含用户...
Nodejs的JWT和Session的使用
01-20
使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,可以查看资料。 这里引入两个插件,express-jwt和JsonWebTokens,- JsonWebTokens:用作生成token express-jwt:用作验证指定http请求的...
Express框架JWT基础 - 对称|非对称加密
灵魂学者的博客
01-31 643
在本篇当来进一步的讲解关于JWT的基础使用对称以及非对称加密;在上一篇内容当已经使用过了JWT(JSONWebToken)做验证登录,采用的是对称加密的方式;
NodeJS Session&Token验证
m0_61490399的博客
06-10 1613
Node.js是一个javascript运行环境。它让javascript可以开发后端程序,实现几乎其他后端语言实现的所有功能,可以与```PHP、Java、Python、.NET、Ruby等后端语言平起平坐。Nodejs是基于V8引擎,V8是Google发布的开源JavaScript引擎,本身就是用于Chrome浏览器的JS解释,但是Node之父Ryan Dahl把这V8搬到了服务器上,用于做服务器的软件。
Express的JWT使用
weixin_47295886的博客
09-14 4440
安装jwt相关的包两个:jsonwebtoken \ express-jwt 定义secret密钥 如何在登录成功后生成JWT字符串——生成Token 将JWT字符串还原成为JSON对象——解析Token 使用req.user(req.auth)获取用户信息——有权限的接口 捕获解析JWT(即解析token)失败后产生的错误——错误间件在最后 进行捕获错误
nodejsexpress使用token认证
weixin_45672607的博客
01-25 333
【代码】nodejsexpress使用token认证。
Nodejs入门 token校验
2303_76218115的博客
08-31 1034
token校验作为项目里的必要项,其重要性不言而喻,今天介绍一个在Node.js备受推崇的神奇工具——jsonwebtoken一、token是什么jsonwebtoken是什么?在互联网世界Token是一种用于表示身份验证和授权的令牌。以为例,它生成的JWT就是一种TokenToken通常由服务器颁发给用户,并在用户进行身份验证后用于标识用户身份。当用户希望访问需要授权的资源时,Token就成为了一种凭证,用于证明用户的身份和权限。
node.js之expresstoken验证
热门推荐
qq_39905409的博客
02-24 1万+
1、用jsonwebtoken生成token 2、用express-jwt验证token是否过期或失效 3、用jsonwebtoken解析出token的用户信息,比如用户id 注意: 使用res.json()发送响应时,在此前加一个return,即return res.json(),类似res.send()等函数也要加return,而且是所有的地方都要加,即使是a请求的响应没加return,...
nodejs登录时的token验证
05-11
在 Node.js 进行登录时,通常会生成一个 token 并将其返回给客户端,客户端在后续的请求携带该 token,服务端则需要对 token 进行验证。 常见的 token 验证方式包括: 1. JWT(JSON Web Tokens) JWT 是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。在 Node.js ,可以使用 jsonwebtoken 库来生成和验证 JWT。 2. session 使用 session 的方式需要在服务端维护会话状态,每次请求都需要带上 session ID,服务端通过 session ID 查找对应的会话信息进行验证。 3. token 验证间件 可以使用一些现成的 token 验证间件,如 express-jwt、koa-jwt 等,它们可以自动验证 token,并将验证结果存储在请求对象供后续使用。 具体实现方式可以参考以下示例: 使用 JWT 进行 token 验证: ```javascript const jwt = require('jsonwebtoken'); // 生成 token const token = jwt.sign({ userId: '123' }, 'secret', { expiresIn: '1h' }); // 验证 token const verifyToken = (req, res, next) => { const token = req.headers.authorization; if (!token) { return res.status(401).send('Unauthorized'); } try { const decoded = jwt.verify(token, 'secret'); req.userId = decoded.userId; next(); } catch (err) { return res.status(401).send('Unauthorized'); } }; // 在路由使用验证间件 app.get('/api/user', verifyToken, (req, res) => { const userId = req.userId; // ... }); ``` 使用 session 进行 token 验证: ```javascript const session = require('express-session'); // 在 app 启用 session app.use(session({ secret: 'my-secret', resave: false, saveUninitialized: true, cookie: { secure: true } })); // 登录时设置 session app.post('/api/login', (req, res) => { req.session.userId = '123'; res.send('Login successful'); }); // 验证 session const verifySession = (req, res, next) => { const userId = req.session.userId; if (!userId) { return res.status(401).send('Unauthorized'); } req.userId = userId; next(); }; // 在路由使用验证间件 app.get('/api/user', verifySession, (req, res) => { const userId = req.userId; // ... }); ``` 使用 token 验证间件: ```javascript const expressJwt = require('express-jwt'); // 配置间件 const jwtMiddleware = expressJwt({ secret: 'secret' }); // 在路由使用验证间件 app.get('/api/user', jwtMiddleware, (req, res) => { const userId = req.user.userId; // ... }); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值