node使用JSON Web Token (JWT)身份验证

于 2023-12-15 08:30:00 发布
阅读量654 收藏 8
点赞数 5
分类专栏: 开发工具(软件、脚本、博客等) 文章标签: json 前端 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weiCong_Ling/article/details/134991257
版权

文章目录

前言

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

JWT是由header(头部)payload(数据)signature(签名)三部分组成,中间用点分隔开,并且都会使用 Base64 编码。

本文使用了密钥文件,可先生成相关秘钥数据(参考node加密集合(前端加密、后台解密)

一、安装依赖

npm install jsonwebtoken -S
and if use TS
npm install @types/jsonwebtoken -D

二、使用

1、默认同步签名(HMAC SHA256<**>HS256)对称秘钥

生成对称私钥

import { generateKeyPairSync } from 'crypto'

const { privateKey } = generateKeyPairSync('rsa', {
    modulusLength: 1024, // 
    publicKeyEncoding: {
        type: 'spki',
        format: 'pem'
    },
    privateKeyEncoding: {
        type: 'pkcs8',
        format: 'pem',
        cipher: 'aes-256-cbc',
        passphrase: 'top secret',
    }
});

token加解密

const privateKey = 'admin-node-ts' // 自定义密码或者使用上述生成的对称私钥

// 加密
import jwt from 'jsonwebtoken';
var token = jwt.sign({ foo: 'bar' }, privateKey);
console.log('encoded', token)

// 解密
var decoded = jwt.verify(token, privateKey);
console.log('decoded', decoded)

2、同步签名(RSA SHA256<**>RS256)非对称秘钥(推荐)

secretOrPrivateKey has a minimum key size of 2048 bits for RS256

import { generateKeyPairSync } from 'crypto'

const { privateKey } = generateKeyPairSync('rsa', {
    modulusLength: 2048,
    publicKeyEncoding: {
        type: 'spki',
        format: 'pem'
    },
    privateKeyEncoding: {
        type: 'pkcs8',
        format: 'pem',
    }
});

// 加密
import jwt from 'jsonwebtoken';
var token = jwt.sign({ foo: 'bar' }, privateKey, { algorithm: 'RS256' });
console.log('encoded', token)

// 解密
var decoded = jwt.verify(token, privateKey, { algorithms: ['RS256'] });
console.log('decoded', decoded)

3、其他

时间有限~

算法类型
HS256HS256(使用SHA-256的HMAC)是一种对称密钥的散列算法
HS384-
HS512-
RS256RS256算法是一种非对称算法,使用私钥来签署JWT,使用公钥来验证该签名。 在签署你的JWT时,RS256是推荐的算法。 它更安全,而且如果钥匙被破坏,你可以快速地旋转钥匙。 (Auth0默认使用RS256来签署JWT)
RS384-
RS512-
ES256-
ES384-
ES512-
PS256-
PS384-
PS512-
none-

三、设置时间

回溯时间

设置数据中添加iat字段,用于设置回溯时间

import jwt from 'jsonwebtoken';
import { PRIVATE_KEY } from "./const/secret-key";
const iat= Math.floor(Date.now() / 1000) - 60; // 回溯前60s
var token = jwt.sign({ foo: 'bar', iat }, PRIVATE_KEY.toString(), { algorithm: 'RS256' });

过期时间

  • 设置数据中添加exp字段,用于设置失效时间
import jwt from 'jsonwebtoken';
import { PRIVATE_KEY } from "./const/secret-key";
const exp = Math.floor(Date.now() / 1000) + 60; // 60s 失效
var token = jwt.sign({ foo: 'bar', exp }, PRIVATE_KEY.toString(), { algorithm: 'RS256' });
  • expiresIn
import jwt from 'jsonwebtoken';
import { PRIVATE_KEY } from "./const/secret-key";
var token = jwt.sign({ foo: 'bar' }, PRIVATE_KEY.toString(), { algorithm: 'RS256', expiresIn: 60 * 60 }); // 推荐
or
var token = jwt.sign({ foo: 'bar' }, PRIVATE_KEY.toString(), { algorithm: 'RS256', expiresIn: '1h' }); // 优先推荐

一般有以下单位
s=秒
m=分
h=时
d=天
其他可使用ms进行转换使用

如有启发,可点赞收藏哟~

失眠时间
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node-jsonwebtokennode.js的JsonWebToken实现http:self-issued.infodocsdraft-ietf-oauth-json-web-token.html
02-20
jsonwebtoken 建造 相依性 的实现。 这是针对draft-ietf-oauth-json-web-token-08 。 它利用了 安装 $ npm install jsonwebtoken 迁移说明 用法 jwt.sign(有效载荷,secretOrPrivateKey,[选项,回调]) (异步)如果提供了回调,则使用err或JWT调用该回调。 (同步)以字符串形式返回JsonWebToken payload可以是对象文字,缓冲区或表示有效JSON的字符串。 请注意,仅当有效负载是对象文字时才设置exp或任何其他声明。 不检查缓冲区或字符串有效负载的JSON有效性。 如果payload不是缓冲区或字符串,则将使用JSON.stringify将其强制为字符串。 secretOrPrivateKey是一个字符串,缓冲区或对象,其中包含HMAC算法的密钥或RSA和E
node使用jsonwebtoken实现身份认证
jieyucx的博客
07-27 1428
jwt介绍JWT)是一种基于JSON的开放标准,用于在网络上以安全方式传输声明。JWT通常用于身份验证和授权。它是一种可自包含的身份认证机制,由三部分组成头部、载荷和签名。JWT的头部和载荷都是使用Base64编码后的JSON字符串,签名是由头部和载荷使用密钥进行哈希计算得到的字符串。JWT可以在客户端和服务器之间传输,并且可以在传输过程中防止数据被篡改。由于它是无状态的,因此可以简化Web应用程序的开发和维护。在本文中,我们探讨了如何在Node.js的Express框架中使用来实现身份认证。
node.js中使用JsonWebToken模块进行token加密
嗨皮的博客
12-09 3094
token的含义以及在前后端对用户验证的作用,token的验证流程
jsonwebtoken简介
weixin_64383623的博客
04-03 411
jwt简介
Node使用jsonwebtoken
weixin_73235090的博客
12-03 129
该项目是一整个专栏,主要是使用node+express+ts+mysql,来完成一个小程序+后台管理的node后端项目,喜欢的可以订阅此专栏。
node使用jwt签发与验证token的方法
01-02
jwt,即JSON Web Token的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 jwt由三个部分组成,它们之间用.分开,通常如下所示xxxxx.yy
mean-jwt:使用 Json Web Token 方法的均值堆栈
07-08
这个想法是使用 Json Web Token 进行身份验证,避免与跨脚本攻击相关的烦人问题。 我们可以允许客户端为令牌交换有效的凭据,而不是为每个请求提供用户名和密码等凭据。 此令牌使客户端可以访问服务器上的资源。 ...
快速入门:使用Express-JWTJSON Web Token保护你的Node.js应用
最新发布
01-30
在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwtjsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。
fast-jwt:快速 JSON Web Token 实现
07-23
快速 JSON Web 令牌实现。 安装 赶紧跑: npm install fast-jwt 用法 创建签名者 通过调用createSigner并提供以下一个或多个选项来创建签名者函数: key :字符串或缓冲区,包含HS*算法的秘密或RS* 、 PS* 、 ES*...
Node-Authentication-With-JWT:可使用jwtJSON Web令牌)处理身份验证Nodejs api
02-13
可以使用JWT处理身份验证NodeJs API。 技术栈: -> bcryptjs [对密码进行哈希处理] ->快递 -> joi [模式验证] -> JWT ->猫鼬 JSON Web令牌: JSON Web令牌是用于创建具有可选签名和/或可选加密的数据的互联网标准...
Nodejs使用jsonwebtoken生成token和express-jwt解析和校验token
LLL3189860667的博客
09-01 3899
亲爱的小伙伴你好,你是否还在苦恼如何在自己使用Nodejs写的接口中生成token字符串,以及解析从客户端发送过来的token字符串呢?别担心,下边我将通过详细的步骤以及一个小案例来教会你如何进行相关操作。
网络传入安全jwts
weixin_30481087的博客
03-19 418
使用json web token 发表于Aug 13 2014 由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是越来越喜欢干净整洁的web层,之前用jsf开发做view层的时候,用的primefaces做的界面显示,虽然prim...
Node使用token(基于第三方包jsonwebtoken)
zep
07-02 1703
一、jsonwebtoken 用于生成token(加密) > jsonwebtoken 1. 安装 npm i jsonwebtoken --save 2. 使用 2.1 引入 2.2 加密 用户登录成功后,后端生成token,返回给前端 二、passport、passport-jwt 用于验证token(解密) passport-jwt和passport中间件来验证token passport-jwt是一个针对jsonwebtoken的插件,passport是express框架的一个针对密码
jwt ---- json web token
weixin_44235759的博客
09-09 1430
之后的请求都会携带cooKie和session。cookie 和 session的缺点。编写token工具类。
JSON Web Token (JWT)
lizsy的博客
04-10 832
JSON Web Token (JWT) 是一种开放标准 (),我们常说的jwt token(令牌),其实就是按照jwt制定的标准生成的字符串令牌。
nodejs中使用jsonwebtoken
everday_的博客
06-18 1981
nodejs中使用jsonwebtoken,使用ES256和RS256
nodejs使用jsonwebtoken/jwt-decode生成jwt和解密token的方法
jiaohuizhuang6019的博客
09-19 670
nodejs使用jsonwebtoken/jwt-decode生成jwt和解密token的方法
快速使用JWTJson Web Token
EpiphyllumLove的博客
08-10 290
本文章主要为了方便将工具类代码复制粘贴,快速开发,将JWT封装为工具类使用
示范Node.js实现JSON Web TokenJWT)的代码教程与范例
qq_38334677的博客
03-05 885
jwtjson web token的全称,他解决了session以上的问题,优点是服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展,什么情况下使用jwt比较合适,我觉得就是授权这个场景,因为jwt使用起来轻便,开销小,后端无状态,所以使用比较广泛。
nesjt 用户验证 token jwt策略 代码
06-09
这里提供一个基于 Node.js 平台的 JWT 验证代码示例,使用 `jsonwebtoken` 库来实现: ```javascript const jwt = require('jsonwebtoken'); const secretKey = 'your-secret-key'; // 生成 Token function generateToken(user) { const payload = { id: user.id, username: user.username, role: user.role }; return jwt.sign(payload, secretKey, { expiresIn: '1h' }); } // 验证 Token function verifyToken(req, res, next) { const token = req.headers.authorization; if (!token) { return res.status(401).json({ message: 'Token not provided' }); } jwt.verify(token, secretKey, (err, decoded) => { if (err) { return res.status(401).json({ message: 'Invalid token' }); } req.user = decoded; next(); }); } // 在路由中使用 Token 验证 app.get('/api/users', verifyToken, (req, res) => { // req.user 包含解析出来的用户信息 if (req.user.role !== 'admin') { return res.status(403).json({ message: 'Access denied' }); } // 处理业务逻辑 }); ``` 在这个示例中,`generateToken` 用于生成 Token,`verifyToken` 用于验证 Token,并将解析出来的用户信息存储在 `req.user` 中,供后续的路由处理函数使用。在路由中,可以通过访问 `req.user` 来获取当前用户的信息,并根据需要判断用户是否有访问该接口的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值