express实现JWT用户认证系统

最新推荐文章于 2024-06-25 15:56:11 发布
最新推荐文章于 2024-06-25 15:56:11 发布
阅读量247 收藏
点赞数
文章标签: 数据库 运维 javascript ViewUI
原文链接:https://juejin.im/post/5c2a2f5df265da613d7c2a3a
版权

介绍

掌握本文知识点之前需要了解的技术点有:

JavaScript,express,MongoDB,jsonwebtoken,redis,docker

因为MongoDB和redis我是通过docker运行的,所以需要一点docker的知识。

了解以上知识点之后,下面就直接撸代码,大部分都是用户系统需要用到的业务逻辑,文章最后会放出源码地址,代码中大都实现了模块化处理,需要的验证的可以下载源码参考,自行编译。

config模块

项目中需要配置的动态信息我都放在了config模块,比如验证码过期时长,加密密钥,mongo地址等

var isthinkpad=true
var mail = {
    host: 'smtp.163.com',
    user: 'xxx@163.com', // generated ethereal user
    pass: 'xxxxxx', // generated ethereal password
    from: '"Fred Foo" <xxxx@163.com>', // sender address
    to: 'xxxx@qq.com,', // list of receivers
}

module.exports = {
    codeexpire:180,//秒
    jwtsecret:"jjjjjj",
    md5secret:"jkkks934(EIURLOE(W)WF<{fs;f{{",
    mongolink:isthinkpad?'mongodb://test:123456@192.168.99.100:27017/test':'mongodb://test:123456@localhost:27017/test',
    redislink:isthinkpad?'192.168.99.100':'localhost',
    mail:mail,
}
复制代码

注册逻辑

实现数据库连接
var config = require('./config')
var mongoose = require('mongoose');

mongoose.connect(config.mongolink, { autoIndex: false, useNewUrlParser: true});

var db = mongoose.connection;
db.on('error', console.error.bind(console, '数据库connection error:'));
复制代码

数据库连接单独封装到mongoconn模块中,在server开始启动中调用

//mongodb
require('./mongoconn')
复制代码
实现用户model
var mongoose = require('mongoose');
var Schema = mongoose.Schema;

var User = mongoose.model('User', new Schema({ 
    username: String, 
    password: String
}))

// 返回一个mongo用户库实例
module.exports = {
    user: User
};
复制代码

实现User模型,用于CRUD功能,由于只是实现注册登录的效果,所以字段只设置了username和password,根据业务功能可以自行更改。

判断参数是否合法
route.post('/register', (req, res) => {
    var username = req.body.username
    var password = req.body.password

    //是否合法的参数
    if (username == null || username.trim() == '' || password == null || password.trim() == '') {
        res.send(response.err("用户名或密码不能为空"))
        return
    }
复制代码

判断用户参数是否合法需要很多判断条件,目前这些判断条件业务不是很全,可以根据测试不断增加。

判断用户是否已注册

    //是否存在用户
    User.findOne({ username: username }).then((data) => {
        console.log(data)
        return new Promise((resolve, reject)=>{
            if (data) {
                res.send(response.err("用户已注册过"))
                reject()
            }
            else {
                resolve()
            }
        })
    }).then(() => {
        //存储
        return new User({
            username: username,
            password: common.md5(password)
        }).save()
    }).then((data) => {
        console.log(data)
        if (data) {
            //返回
            res.send(response.succ("注册成功"))
            return
        }
        
        //返回
        res.send(response.err("注册失败"))
    }).catch((err)=>{
        //异常
        if (err) {
            console.log(err)
        }
    })
复制代码

使用user模型查询是否已存在用户注册,因为查询是异步的,所以使用返回一个promise作为查询结果,然后进行链式结果的传输,其中密码使用md5加密,防止数据泄露。

发送验证码逻辑

业务上对于以上注册api调用之前,应该先调用验证码接口,比如邮箱注册调用邮箱验证,手机注册调用手机验证,所以就实现了手机和邮箱验证的模块。

var response = require('./response')
var express = require('express')
var route = express.Router()
var sendverycode = require('./sendverycode')
var common = require('./common')
var config = require('./config')
var expire = config.codeexpire
var redis = require('./redis')

route.post('/verycode', function (req, res) {
    //生成6位验证码
    var vcode = Math.ceil(Math.random() * (1000000 - 100000) + 100000)
    console.log(vcode)

    if (req.body.type == 1) {//邮件
        var mail = req.body.mail
        if (common.ismail(mail) == false) {
            res.send(response.err('请输入正确的邮件地址'))
            return
        }

        verify(mail)
    }
    else {//手机
        var phone = req.body.phone
        if (common.isphone(phone) == false) {
            res.send(response.err("请输入正确的手机号"))
            return
        }
        
        verify(phone)
    }

    function verify(key){

        redis.getkey(key).then((data)=>{
            if (data) {
                res.send(response.err('验证码已发送' + expire + '秒后再重新请求'))
                return
            }

            res.send(response.succ("验证码已发送"))
            if (common.ismail(key)){
                return sendverycode.mail(key, vcode)
            }
            else{
                return sendverycode.phone(key, vcode)
            }
        }).then((data) => {
            if (data) {
                console.log('验证码发送成功')
                redis.setkv(key,vcode,expire).then((data)=>{
                    console.log('验证码保存redis成功'+expire+'秒后超时')
                })
            }
            else {
                console.log('验证码发送失败')
            }
        })
    }
})

module.exports = route
复制代码

首先生成了6位的验证码,根据type判断是邮箱验证,还是手机验证,发送成功后,把验证码放到redis里面,用于过期判断。

登录逻辑

判断用户密码是否正确
var response = require('./response')
var model = require('./model')
var User = model.user
var express = require('express')
var route = express.Router()
var common = require('./common')

route.post('/login', function(req, res){
    var username = req.body.username
    var password = req.body.password

    //是否合法的参数
    if (username == null || username.trim() == '' || password == null || password.trim() == '') {
        res.send(response.err("用户名或密码不能为空"))
        return
    }

    User.findOne({username:username, password: common.md5(password)}).then((data)=>{
        return new Promise((resolve, reject)=>{
            if(data){
                resolve(data)
            }
            else{
                res.send(response.err("用户名或密码错误"))
                reject()
            }
        })
    })
复制代码

把username和password作为条件放在用户表中查找,根据返回判断用户密码是否正确。登陆成功后就开始进行下一步操作。

生成token返回用户
then((data)=>{
        console.log(data)
        var token = common.signtoken(JSON.stringify(data))
        res.send(response.succ("用户登录成功", {token: token}))
    }).catch((err)=>{
        if(err){
            console.log(err)
        }
    })
复制代码

把data放到token里面,返回给用户,下次需要验证的时候客户端带上需要带上token值进行传输。

用户信息逻辑

用户信息是肯定要带上token进行用户认证的,所以需要传递token值,这里可以把token验证放到中间件里面进行验证,需要认证的时候直接加上中间件就好了。

token中间件
var response = require('./response')
var common = require('./common')

module.exports = function(req, res, next){
    var token = req.body.token || req.query.token || req.headers['token']
    if (token){
        common.verifytoken(token).then((data)=>{
            if(data){
                req.decoded=data
                next()
            }
            else{
                res.send(response.out("无效的token,请重新登录"))
            }
        })
    }
    else{
        res.send(response.err("没有传token,请先登录"))
    }
}
复制代码

如果token解码成功,传递给下个路由接收,否则返回错误信息。

获取用户信息
var response = require('./response')
var express = require('express')
var route = express.Router()
var authtoken = require('./authtoken')

route.post('/getUserInfo', authtoken, function(req, res){
    res.send(req.decoded)
})

module.exports = route
复制代码

添加中间件authtoken,如果token验证通过,会传递到当前接口。目前这个接口写的比较简单,直接返回了token的信息给客户端。正常的业务中应该还会查询表,然后再返回用户信息的逻辑。到这里基本就结束了,用到了注册、登陆、验证码、缓存等。

总结

本文只做认证系统的雏形,根据这个项目改改应该就能使用了,很多地方可以继续优化,比如对频繁使用地方建立索引,一些地方需要增加更多逻辑,对传输的信息进行二次加密,增强安全性等。

代码参考https://github.com/jackyshan/express-jwt

weixin_33922672
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT用户认证
qq_29684305的博客
02-18 217
原理 JWT的原理是服务端认证之后,生成一个json对象回传用户。这个json对象包含一定的用户信息,为了防止数据被篡改,json中包含的签名,签名的秘钥放在服务器上。 数据结构 实际回传给用户的是这样的字符串: eyJhbGciOiJIUzI1NiJ9.eyJhcGlOYW1lIjoidGVzdCIsImFwcE5hbWUiOiJ0ZXN0IiwiaXNzIjoiRkhaWiIsIm5hbWUi...
react-express-jwt
04-29
总结起来,"react-express-jwt"项目提供了一个基础的示例,展示了如何使用React作为前端框架,Express作为后端服务器,结合JWT实现用户认证。在实际开发中,你需要根据需求对这个项目进行扩展,例如添加数据库支持,...
express-jwt-auth:Express.js JWT身份验证
04-18
Express.js JSON Web令牌认证 RESTful API,具有使用Express.js和JWT的基于角色的身份验证。 特征 用户CRUD 用户认证 基于角色的身份验证中间件 要求 $ git clone https://github.com/GoldB/express-jwt-auth $ cd express-jwt-auth $ npm install $ npm run start 技术领域 作者 布鲁诺·亨里克·德拉·伯纳达·希尔格伯格。 cadernetinhacheia@gmail.com
Express + JWT用户认证最轻实践
仗剑天涯,从摘要开始
03-24 316
Express + JWT用户认证最轻实践 最近给自己列了一个list,Ummm...列来列去大概是下面这个样子: React SSR服务端渲染 jwt用户认证 Vue全家桶 微信小程序开发 ... 等等 好吧,谁让自己菜呢,没什么好抱怨的,一个一个来吧。正好最近看了一些token做身份认证的文章,发现其中大部分都是说token登录怎么怎么好,反正没有几个认认真真的实现的。。。正好,秉...
Express 使用jwt登录的流程
最新发布
2301_79577017的博客
06-25 107
4. 存储JWT:客户端(如浏览器)将接收到的JWT存储在本地(如localStorage)或发送到服务器上的特定位置(如数据库Redis),以便稍后进行验证。10. 注销用户用户可以选择注销,这将导致客户端删除存储的JWT并将其发送到服务器进行注销。7. 授予访问权限:服务器将客户端请求的资源发送给客户端,同时允许客户端在一定时间内访问其他受保护的资源,而无需再次进行身份验证。8. 令牌过期:JWT具有一定的有效期,一旦过期,客户端必须重新进行身份验证并获取新的JWT
关于使用express-jwt后req.user获取不到数据这件事
weixin_55410216的博客
09-26 326
比如说。
Express中使用JWT
m0_63400611的博客
04-19 5507
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt 其中: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
Express中的JWT使用
weixin_47295886的博客
09-14 4478
安装jwt相关的包两个:jsonwebtoken \ express-jwt 定义secret密钥 如何在登录成功后生成JWT字符串——生成Token 将JWT字符串还原成为JSON对象——解析Token 使用req.user(req.auth)获取用户信息——有权限的接口 捕获解析JWT(即解析token)失败后产生的错误——错误中间件在最后 进行捕获错误
Node.js Express框架 实现 jwt验证 登录路由 上传文件接口 连接数据库
06-06
在本文中,我们将深入探讨如何使用Node.js的Express框架实现JWT(JSON Web Token)验证、登录路由、上传文件接口以及连接MySQL数据库。这些是构建现代Web应用的关键组件,特别是对于那些需要安全用户认证、文件处理...
jwt-middleware:NodeJS + Express + JWT + 中间件
05-31
本文将深入探讨JWT-middleware在NodeJS + Express环境中的应用,以及如何利用JWT实现用户认证。 首先,我们来了解JWT的基本概念。JWT是一种轻量级的身份验证协议,它允许服务端在不存储会话信息的情况下,通过在...
Express + MongoDB 后台系统.zip
08-03
8. **安全措施**:使用 JWT 进行用户认证,防止未授权访问。 综上所述,这个“Express + MongoDB 后台系统”项目涵盖了后端开发的核心技术和流程,是一个很好的学习和实践平台。通过研究这个项目,可以深入了解 ...
auth-service:Express JWT登录,注册,重置密码
02-11
授权服务 简单身份验证服务(登录,注册,忘记密码,原始用户) 叠放 nodejs(快速) PostgreSQL 续集 jsonwebtoken 节点邮件程序 列表身份验证服务API: 验证码 /api/register {POST,正文[电子邮件,用户名,密码]} /api/login {POST,正文[电子邮件,密码]} /api/forgot_password {POST,正文[电子邮件]} /api/reset_password {POST,正文[resetToken,newPassword,verifyPassword]} 用户 /api/users {获取,获取所有用户} /api/users {POST,正文[用户名,电子邮件,密码,角色]} /api/user/:id {获取,params [id],按ID提取用户} /api/user/:id {输入,
Express+MongoDb 商品管理系统.zip
08-03
8. **安全性**:在商品管理系统中,需要考虑的安全措施可能包括用户认证(如JWT)、请求验证(防止XSS和CSRF攻击)、数据过滤(防止SQL注入)以及权限控制等。 9. **部署与运维**:系统开发完成后,还需要考虑部署...
使用node.js实现接口步骤
lemon今天学习了吗?的博客
07-22 5508
3.项目初始化在新建的文件夹下执行npmi,会自动生成package.json文件;9.在router_hander文件夹中新建user.js,存放抽离出来的路由模块的处理函数;在根目录下新建的db文件夹下的index.js中导入mysql模块并创建数据库连接对象;(1)在app.js中封装res.send()的中间件,减少重复代码的使用;8.在router文件夹下创建user.js用来创建用户相关的路由;(2)对用户输入的密码进行加密,防止数据库数据泄漏造成的数据威胁;.........
十五、Express 中使用JWT进行登录验证
灵魂学者的博客
01-11 2121
JWT是目前最流行的跨域认证解决方案,将用户的信息进行验证,验证成功后会将用户信息进行加密,生成Token之后服务器将它响应给到客户端,客户端拿到这个Token之后将它保存起来,可保存在LocalStorage或SessionStorage中,那么在下次客户端再次发起请求之后,会再将未过期的Token发给服务器去还原验证,如果验证成功服务器会将请求相应的用户信息内容返回给客户端这样一个过程。
express-jwt配置完后,req会多一个user属性,即req.user
m0_74693275的博客
09-20 270
在使用 express-jwt 中间件进行身份验证后, express-jwt 中间件会自动将经过验证的用户信息添加到 req.user 中。如果验证成功, req.user 会被自动设置为包含经过验证的用户信息的对象。需要注意的是,在使用 express-jwt 中间件之前,需要确保已经在请求中包含了有效的 JWT。当进行请求到达 /protected 路由时,如果请求的 JWT 通过了验证, req.user 将包含验证的用户信息。// 访问 req.user 获取验证过的用户信息。
express基于JWT实现用户登陆授权控制
weixin_33860737的博客
05-08 1642
你是否和我一样,在对接后端大佬的接口时,对于请求头authorization认证感到疑惑; 你是否和我一样,在向node后端领域扩展时,对于用户登陆注册授权感到挠头; 你是否和我一样,在浏览器访问某个页面时,对于访问权限控制感到好奇; 那么,请花上几分钟时间阅读,让下文来帮你解惑。 本文主要通过express实现用户登陆授权的逻辑,这里的JWT只是一个标准,全称:JSON Web Token。有...
Express中前后端的身份认证
qq_61706112的博客
05-10 408
Session的工作原理 客户从浏览器端登录,提交账号与密码到服务器端,服务器验证账号和密码并将登录成功后的用户信息存储在服务器的内存中,同时生成对应的Cookie字符串。之后服务器通过响应将生成的Cookie响应给客户端,浏览器自动把Cookie存储在当前域名下。客户端再次发起请求时,通过请求头自动把当前域名下所有可用的Cookie发送给服务器,服务器根据请求头中携带的Cookie从内存中查找对应的用户信息。当用户的身份认证成功后,服务器针对当前用户生成特定的响应内容,服务器通过响应把当前用户对应的页
如何使用JWT Token进行认证授权
05-23
以下是一个使用Node.js实现JWT认证授权的示例: ```javascript const express = require('express'); const jwt = require('jsonwebtoken'); const app = express(); // 登录路由 app.post('/login', (req, res) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值