express基于JWT实现用户登陆授权控制

最新推荐文章于 2024-06-25 15:56:11 发布
最新推荐文章于 2024-06-25 15:56:11 发布
阅读量1.6k 收藏 4
点赞数 1
文章标签: javascript json 数据库 ViewUI
原文链接:https://juejin.im/post/5cd24b396fb9a0324f17a81b
版权

你是否和我一样,在对接后端大佬的接口时,对于请求头authorization认证感到疑惑;
你是否和我一样,在向node后端领域扩展时,对于用户登陆注册授权感到挠头;
你是否和我一样,在浏览器访问某个页面时,对于访问权限控制感到好奇;
那么,请花上几分钟时间阅读,让下文来帮你解惑。

本文主要通过express来实现用户登陆授权的逻辑,这里的JWT只是一个标准,全称:JSON Web Token。有兴趣的小伙伴可以去官方说明加深了解。

初识JWT

了解http协议的同学都知道,http协议是无状态的,所以就需要客户端在每次请求的时候携带一些标识来表明身份,所以就有了CookieAuthorizationTokensession_id等,客户端认证访问服务端的模式一般如下:

  1. 客户端提交用户信息登陆
  2. 服务端验证通过后,存储相关对话信息,生成对应的标识字符(token、Authorization、session_id),返回给客户端
  3. 客户端接收服务器返回内容,存储到对应的位置(cookie、localstorage)
  4. 客户端每次都携带这个标识字符进行服务端数据请求
  5. 服务端根据标识字符校验身份,进行数据处理

JWT字符由三部分组成,例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaWF0IjoxNTU3NzM5NjM1LCJleHAiOjE1NTgzNDQ0MzV9.L4PqLf7PatEf_TVrNG2GgyBlU7YR8iuEoXOOeu7i15g
按照格式排列就是这样Header.Payload.Signature

Header: JWT的元数据,一般是一些要加密的json对象,比如{username: 'Tom'}
Payload: JWT的负载对象,一般是JWT官方规定的字段,比如exp(过期时间),详见字段说明
Signature: 对前两部分和私有秘钥进行签名

本文案例使用npm包jsonwebtoken,点击查看用法

项目初始配置

初始化一个express项目,配置数据库连接和加载bodyParser插件。

//connect mongoDB
let mongoose = require('mongoose');
let mongoURL = 'mongodb://localhost/dataBase';
mongoose.connect(mongoURL);
mongoose.Promise = global.Promise;
let db = mongoose.connection;
db.on('error',console.error.bind(console, 'MongoDB connection error:'));

let bodyParser = require('body-parser');
// parse application/x-www-form-urlencoded
app.use(bodyParser.urlencoded({ extended: false }));
// parse application/json
app.use(bodyParser.json());
复制代码

用户注册

编写用户model

用于连接数据库的数据Schema模型

var mongoose = require('mongoose');
var Schema = mongoose.Schema;

var AuthSchema = new Schema({
    username: String,
    userpswd: String
});

// 参数:导出模块名称、Schema实例、数据表名称
module.exports = mongoose.model('AuthInfo', AuthSchema, 'authinfo');
复制代码
编写注册route

基于restful API的接口路由

var express = require('express');
var router = express.Router();
var bodyParser = require('body-parser');

var mongoose = require('mongoose');
var AuthInfo = require('../models/authModel'); // 导入model模块

router.post('/',function(req, res, next){
    console.log('open post register');

    var username = req.body.username;
    var password = req.body.password;

    //是否合法的参数
    if (username == null || username.trim() == '' || password == null || password.trim() == '') {
        res.send({code: 500, message: '用户名密码不能为空'})
        return
    }
    
   // md5
    var md5String = require('crypto').createHash('md5').update(password).digest('hex');

    //验证账号是否存在
    var queryString = {username: username};
    res.set({'Content-type': 'application/json;charset=utf-8'});

    AuthInfo.findOne(queryString).then(data => {
        return new Promise((resolve, reject)=>{
            if(data){
                res.send({code: 500, message: '用户已经注册'});
                reject();
            }else{
                resolve();
            }
        }).then(()=>{
            //保存
            return new AuthInfo({
                username: username,
                password: md5String
            }).save();
        }).then(data => {
            if(data){
                //返回
                res.send({code: 1, message: '注册成功'})
                return;
            }
            // 返回
            res.send({code: 500, message: '注册失败'});
        }).catch(err => {
            // 异常
            if(err){
                res.status(500).send(err);
                console.log(err);
            }
        })
    })

});

module.exports = router;
复制代码
编写登陆route

基于restful API的接口路由

var express = require('express');
var router = express.Router();
var bodyParser = require('body-parser');

var mongoose = require('mongoose');
var AuthInfo = require('../models/authModel');

router.post('/',function(req, res, next){

    var username = req.body.username;
    var password = req.body.password;

    //是否合法的参数
    if (username == null || username.trim() == '' || password == null || password.trim() == '') {
        res.send({code: 500, message: '用户名密码不能为空'})
        return
    }

    var md5String = require('crypto').createHash('md5').update(password).digest('hex'); // md5

    //验证账号是否存在
    var queryString = {username: username, userpswd: md5String};
    res.set({'Content-type': 'application/json;charset=utf-8'});
    
     // md5 token
    var tokenString = require('crypto').createHash('md5').update(JSON.stringify(queryString)).digest('hex');

    AuthInfo.findOne(queryString).then(data => {
        return new Promise((resolve, reject)=>{
            if(data){
               resolve(data);
            }else{
            	res.send({code: 500, message: '用户名或密码错误'})
              reject();
            }
        }).then(data => {
        		console.log(data);
        		res.send({ code: 1, message: '登陆成功', token: tokenString })
        })
    }).catch( err => {
    	if(err){
          res.status(500).send(err);
          console.log(err);
        }
    })

});

module.exports = router;
复制代码

这里和注册不同的是我们需要把从前端页面接收到的密码通过MD5转换才能用于数据库查询,因为数据库的密码字段也正是存着MD5转换过后的字符,当查询成功之后,我们还需要通过对刚才登陆的表单字段对象进行字符串转换,然后再通过MD加密后作为token返回给客户端。

上面是一个简单的使用MD5加密的token用户授权案例,并没有使用JWT,然而,使用JWT认证,我们只需要进行少部分的变动

这里我们需要借助npm包: jsonwebtoken,前端方面需要在axios或者fetch的默认headers配置中配置认证信息,比如:
axios.defaults.headers['Authorization'] = sessionStorage.getItem("token");

注册逻辑不变,我们只需要更改用户登录成功之后的token生成方式为JWT,并且在服务中做路由拦截并对客户端携带过来的认证信息做校验即可。

JWT登陆route改进

var jwt = require('jsonwebtoken'); // 借助 jsonwebtoken

// ...

AuthInfo.findOne(queryString).then(data => {
  return new Promise((resolve, reject)=>{
      if(data){
         resolve(data);
      }else{
      	res.send({code: 500, message: '用户名或密码错误'})
        reject();
      }
  }).then(data => {
  		console.log(data);

  		/***jwt生成token***/
      let content = {username: username};  // 要生成token的主题信息
      let secretOrPrivateKey= "This is perfect projects."; // 这是加密的key(密钥) 根据个人自定义
      let token = jwt.sign(content, secretOrPrivateKey, {
        expiresIn: 60 * 60 * 24 * 7  // 一周过期
      });

  		res.send({ code: 1, message: '登陆成功', token: token })
  })
}).catch( err => {
	if(err){
      res.status(500).send(err);
      console.log(err);
    }
})

// ...
复制代码

JWT项目初始配置改进

var jwt = require('jsonwebtoken'); // 借助 jsonwebtoken

// ...

let allowCrossDomain = function(req, res, next) {
  // 响应头设置 添加Methods: OPTIONS、Headers: Authorization
  res.header('Access-Control-Allow-Origin', 'http://localhost:8082');
  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
  res.header('Access-Control-Allow-Headers', 'content-type,token,id');
  res.header("Access-Control-Request-Headers", "content-Type, Authorization");
  res.header('Access-Control-Allow-Credentials','true');
  next();
};
app.use(allowCrossDomain);

//添加拦截器
app.use(function(req, res, next){
  // 获取请求头中的Authorization认证字符
  let authorization = req.get('Authorization'); 
  // 排除不需要授权的路由
  if(req.path === '/api/login'){
    next()
  }else if(req.path === '/api/register'){
    next();
  }else{
    let secretOrPrivateKey= "This is perfect projects.";
    jwt.verify(authorization, secretOrPrivateKey, function (err, decode) {
      if (err) {  //  认证出错
        res.status(403).send('认证无效,请重新登录。');
      } else {
        next();
      }
    })
  }
})

//...
复制代码

JWT认证方案相对于简单token认证方式变动不大,只是变更了token生成方式和用户身份的校验方式,了解JWT认证,对于我们理解前后端交互具有更大的帮助。

本文参考:
juejin.im/post/5c2a2f…
www.ruanyifeng.com/blog/2018/0…

转载于:https://juejin.im/post/5cd24b396fb9a0324f17a81b

weixin_33860737
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
node express jwt实现一个用户登录的校验以及权限拦截(用户认证与授权)服务端验证
十五、Express 中使用JWT进行登录验证
灵魂学者的博客
01-11 2121
JWT是目前最流行的跨域认证解决方案,将用户的信息进行验证,验证成功后会将用户信息进行加密,生成Token之后服务器将它响应给到客户端,客户端拿到这个Token之后将它保存起来,可保存在LocalStorage或SessionStorage中,那么在下次客户端再次发起请求之后,会再将未过期的Token发给服务器去还原验证,如果验证成功服务器会将请求相应的用户信息内容返回给客户端这样一个过程。
Express 使用jwt登录的流程
最新发布
2301_79577017的博客
06-25 107
4. 存储JWT:客户端(如浏览器)将接收到的JWT存储在本地(如localStorage)或发送到服务器上的特定位置(如数据库或Redis),以便稍后进行验证。10. 注销用户用户可以选择注销,这将导致客户端删除存储的JWT并将其发送到服务器进行注销。7. 授予访问权限:服务器将客户端请求的资源发送给客户端,同时允许客户端在一定时间内访问其他受保护的资源,而无需再次进行身份验证。8. 令牌过期:JWT具有一定的有效期,一旦过期,客户端必须重新进行身份验证并获取新的JWT
express实现JWT用户认证系统
weixin_33922672的博客
12-31 247
介绍 掌握本文知识点之前需要了解的技术点有: JavaScriptexpress,MongoDB,jsonwebtoken,redis,docker 因为MongoDB和redis我是通过docker运行的,所以需要一点docker的知识。 了解以上知识点之后,下面就直接撸代码,大部分都是用户系统需要用到的业务逻辑,文章最后会放出源码地址,代码中大都实现了模块化处理,需要的验证的可以下载源...
express学习笔记】使用jwt完成简单的登录注册授权操作
qq_41643167的博客
06-11 332
使用jwt完成简单的登录注册授权操作
react-express-jwt
04-29
总结起来,"react-express-jwt"项目提供了一个基础的示例,展示了如何使用React作为前端框架,Express作为后端服务器,结合JWT实现用户认证。在实际开发中,你需要根据需求对这个项目进行扩展,例如添加数据库支持,...
node-express-auth-registration:由用户登录授权以及用户注册数据验证和密码哈希组成的快速REST Api,还发送JSON Web令牌(JWT)作为登录会话使用的响应
05-05
在本项目 "node-express-auth-registration" 中,它被用来构建一个具有用户登录授权用户注册功能的 API用户登录授权是 Web 应用程序中的关键组件,确保只有合法用户能够访问受保护的资源。在这个项目中,该...
Node.js之Express(web登录服务)
02-19
在本文中,我们将深入探讨如何使用Node.js的Express框架构建一个Web登录服务,并结合MongoDB数据库来存储用户信息。Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它让开发者能够在服务器端使用JavaScript...
Node.js-node-express|实现登录验证和授权
08-09
在这个"Node.js-node-express|实现登录验证和授权"项目中,我们将会看到如何构建一个简单的登录系统,包括用户注册、登录验证以及基于角色的权限控制。 首先,我们需要安装必要的依赖库。在项目根目录下,创建`...
express使用JWT和httpOnly cookie进行安全验证
Lu_xiuyuan的博客
03-01 839
express使用JWT和httpOnly cookie进行身份验证 对大创项目中使用JWT作为身份验证的总结。 一般情况使用JWT作为身份验证的方式可以直接参考这篇文章:Node.js 使用 express-jwt 解析 JWT 。这里主要针对httpOnly类型的cookie进行代码调整。 1. 安装和引入 需要使用的模块:express-jwt ,用于解析token; jsonwebtoken ,用于生成token ; cookie-parser,用于解析cookie(据说express已经内置,
Express Auth(权限管理)的设置 (一)
jamey8383的专栏
04-01 2294
1. npm i bcryptjs 主要方法如下 const password = 'Red12345!' const hashedPassword = await bcrypt.hash(password, 8) hash方法中设置8次权衡了安全与速度 const isMatch = await bcrypt.compare('red12345!', hashedPasswor...
全栈之鉴权之旅 -- JWT + passport 实现 Token 验证(Node + Express
张兴华的博客
01-09 2731
登陆认证 (鉴权),是每个应用都需要的基础功能。但很多的时候,却都被大家所忽略,不仅安全漏洞严重,而且代码紧耦合,混乱不堪。 Passport & JWT,正是为了解决登陆认证的事情,让认证模块更透明,减少耦合! 网上关于 JSONWebToken (以下简称 JWT ) && passport.js的中文学习资料较少,学习的时候还蛮吃力的。所以总结出此篇,文章若有错谬...
Express中使用JWT
m0_63400611的博客
04-19 5507
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt 其中: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
【Node.js】Node.js入门(八):express-jwt
郭老二
11-03 2720
可以使用getToken选项指定从请求中提取令牌的自定义函数。客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再把这个token返回给客户端客户端收到token后可以把它存储起来,比如放到cookie中客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带。
Express框架中JWT基础 - 对称|非对称加密
灵魂学者的博客
01-31 646
在本篇当中来进一步的讲解关于JWT的基础使用对称以及非对称加密;在上一篇内容当中已经使用过了JWT(JSONWebToken)做验证登录,采用的是对称加密的方式;
node使用 express jwt 实现token登录验证
热门推荐
weixin_53510183的博客
04-17 2万+
node使用 express jwt 实现token登录验证
Express框架开发接口之JWT鉴权机制
m0_52704461的博客
11-01 248
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。⚫ 日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。⚫ 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。2不同开发模式下的身份认证对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案:① 服务端渲染推荐使用 Session 认证机制。
node.js express JWT token生成与校验
SupperSA的博客
12-11 1447
JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp。2、在代码controller层引入依赖,在登录、注册的时候生成token。生成token的头信息,通常由两部分组成,包含。通过HMACSHA256加密算法生成的签名。
express-jwt
06-02
express-jwt是一个基于JSON Web Token(JWT)的身份验证中间件,用于在Express应用程序中验证用户的身份。JWT是一种跨域认证和授权的标准,它通过在客户端和服务器之间传递加密的JSON数据来实现身份验证和授权。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值