node 第十九天 使用node插件node-jsonwebtoken实现身份令牌jwt认证

置顶 于 2023-11-17 15:35:12 发布
阅读量269 收藏
点赞数
文章标签: node.js jwt token 无感刷新token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43546457/article/details/134449161
版权

  1. 实现效果如下

    前后端分离token登录身份验证效果演示

  2. node-jsonwebtoken
    基于node实现的jwt方案, jwt也就是jsonwebtoken, 是一个web规范可以去了解一下~
    一个标准的jwt由三部分组成
    第一部分:头部
    第二部分:载荷,比如可以填入加密后的用户信息 (填入的信息一定要加密,jwt本质上是明文传输, 用于防篡改而不是做验证
    第三部分:签名信息
    在这里插入图片描述
    使用node-jsonwebtoken的理由
    开源
    实现了服务端设置jwt有效时间,服务端主动作废token

  3. 签名jwt
    服务端使用密钥加密jwt的签名部分然后将jwt发送给客户端,客户端将jwt保存,可以保持在localStorage或者Cookie,由于服务端能够控制jwt过期时间(这里应该是代码实现而不是jwt的标准), 所以放在localStorage或许是一种更现代化的解决方案

  4. 标准jwt防篡改防伪造验证流程
    服务端通过key生成一个签名,通过 签名+信息=jwt
    jwt发到客户端
    客户端带jwt到服务端验证
    服务端通过key和jwt的信息再生成一次签名和jwt的签名做对比
    对比成功, 验证通过
    对比失败, 验证不通过
    至始至终key只存在于服务端,只要key不泄露, jwt就无法被篡改被伪造

  5. 到这里, 我们已经实现了jwt登录验证, 但是需要注意的是jwt是明文传输的,也就是说用户的密码暴露在token里面, 更进一步, 我们可以对jwt的载荷再加密一次,即使token暴露,用户的密码也不会暴露,服务端只要作废这个token就可以了。

  6. 使用第十七天的教程对jwt的载荷进行加密

  7. 基于这些可以轻松实现无感刷新token

  8. jwt 是一个身份令牌而不是一种安全手段

  9. 至此用户密码的暴露只存在于用户登录的那个接口请求过程,需要前端配合处理例如使用JSEncrypt

  10. 到底哪些加密是必须的哪些是无用的, 还需要具体业务来梳理

  11. 贴一下后端主模块代码

    var createError = require('http-errors');
var express = require('express');
var path = require('path');
var cookieParser = require('cookie-parser');
var logger = require('morgan');

const cors = require('cors');
const jwt = require('jsonwebtoken');
const fs = require('fs');

const { encrypt, decrypt } = require('./rsa');

var indexRouter = require('./routes/index');
var usersRouter = require('./routes/users');

var app = express();

// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'hbs');
app.use(logger('dev'));
app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
app.use(
  cors({
    origin: true, //true 设置为 req.origin.url
    methods: 'GET,HEAD,PUT,PATCH,POST,DELETE', //容许跨域的请求方式
    allowedHeaders: 'x-requested-with,Authorization,token, content-type, x-token', //跨域请求头
    preflightContinue: false, // 是否通过next() 传递options请求 给后续中间件
    maxAge: 1728000, //options预验结果缓存时间 20天
    credentials: true, //携带cookie跨域
    optionsSuccessStatus: 200 //options 请求返回状态码
  })
);

const verifyOptions = {};

const jwtKey = fs.readFileSync(path.join(process.cwd(), '/auth/jwt.cer'), 'utf-8');

app.post('/login', (req, res, next) => {
  const { user, pwd } = req.body;
  // 加密jwt(token)载荷
  const encrypt_info = encrypt(JSON.stringify({ user, pwd }));
  delete verifyOptions.maxAge;
  // 签发jwt(token)
  const token = jwt.sign({ info: encrypt_info }, jwtKey, {
    // 有效时间
    expiresIn: '60s'
  });
  res.send({
    msg: 'ok',
    token
  });
});

app.post('/request', (req, res, next) => {
  const token = req.headers['x-token'];
  // 验证jwt(token)
  jwt.verify(token, jwtKey, verifyOptions, (err, decoded) => {
    if (err) {
      res.send({
        msg: 'token error'
      });
      return;
    }
    // 解密jwt(token)载荷 处理业务
    const decrypt_info = JSON.parse(decrypt(decoded.info));
    res.send({
      msg: `welcome ${decrypt_info.user}`
    });
  });
});

app.post('/logout', (req, res, next) => {
  const token = req.headers['x-token'];
  // 作废jwt(token)
  verifyOptions.maxAge = '0s';
  jwt.verify(token, jwtKey, verifyOptions, (err, decoded) => {
    res.send({
      msg: 'logout'
    });
  });
});

app.use('/', indexRouter);
app.use('/users', usersRouter);

// catch 404 and forward to error handler
app.use(function (req, res, next) {
  next(createError(404));
});

// error handler
app.use(function (err, req, res, next) {
  // set locals, only providing error in development
  res.locals.message = err.message;
  res.locals.error = req.app.get('env') === 'development' ? err : {};

  // render the error page
  res.status(err.status || 500);
  res.render('error');
});

module.exports = app;
飞衡、如日之升
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
node.js使用JsonWebToken模块进行token加密
嗨皮的博客
12-09 3252
token的含义以及在前后端对用户验证的作用,token的验证流程
node使用JSON Web Token (JWT)身份验证
最新发布
失眠时间的博客
12-15 767
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT是由header(头部)payload(数据)signature(签名)三部分组成,中间用点分隔开,并且都会使用 Base64 编码。 ———————————————— 版权声明:本文为CSDN博主「失眠时间」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
node-jsonwebtoken, node.js http的JsonWebToken实现.zip
09-18
node-jsonwebtoken, node.js http的JsonWebToken实现 jsonwebtoken 的一个实现。这是针对 draft-ietf-oauth-json-web-token-08 开发的。 它利用了节点 jws 。安装$ npm install jsonwebtoken迁移
node jsonwebtoken
weixin_34358092的博客
05-08 103
jsonwebtokennode版本的JWT(JSON Web Tokens)的实现。1.什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于...
node-jsonwebtokennode.jsJsonWebToken实现http:self-issued.infodocsdraft-ietf-oauth-json-web-token.html
02-20
jsonwebtoken 建造 相依性 的实现。 这是针对draft-ietf-oauth-json-web-token-08 。 它利用了 安装 $ npm install jsonwebtoken 迁移说明 用法 jwt.sign(有效载荷,secretOrPrivateKey,[选项,回调]) (异步)如果提供了回调,则使用err或JWT调用该回调。 (同步)以字符串形式返回JsonWebToken payload可以是对象文字,缓冲区或表示有效JSON的字符串。 请注意,仅当有效负载是对象文字时才设置exp或任何其他声明。 不检查缓冲区或字符串有效负载的JSON有效性。 如果payload不是缓冲区或字符串,则将使用JSON.stringify将其强制为字符串。 secretOrPrivateKey是一个字符串,缓冲区或对象,其中包含HMAC算法的密钥或RSA和E
Node.jsjwt (jsonwebtoken)
小秀的博客
10-16 895
JWTJSON Web Token)是一种用于实现身份验证和授权的开放标准。它是一种基于JSON的安全传输数据的方式,由三部分组成:头部、载荷和签名。
node-jwt:使用jsonwebtokennode js的JWT实现
05-16
"node-jwt:使用jsonwebtokennode js的JWT实现" 指的是一个关于使用Node.jsjsonwebtoken库来实现JSON Web Token (JWT)的教程或项目。JWT是一种安全的身份验证机制,用于在分布式系统中无状态地传递用户信息。 **...
api-auth-jwt使用JWT进行Node.js api身份验证
02-03
**API身份验证与JWTNode.js中的应用** 在现代Web应用程序中,安全性是至关重要的,尤其是在API接口的设计和实现中。API身份验证确保了只有经过授权的用户或服务才能访问受保护的资源。本篇文章将深入探讨如何在...
Node.js-使用nodejs-koa2-mysql-sequelize-jwt实现登录注册文章增删改查接口
08-10
在本项目中,我们主要探讨如何使用Node.js的Koa2框架、MySQL数据库、Sequelize ORM以及JSON Web Tokens(JWT)来构建一个完整的登录注册系统,并实现文章的增删改查接口。以下是对这些技术及其应用的详细解析: 1. ...
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
在本文中,我们将深入探讨如何使用Node.js、Express框架以及JSON Web Tokens (JWT)来实现一个用户登录的校验及权限拦截系统。这个系统的主要目标是确保服务端的安全性,进行用户认证与授权。 首先,我们需要了解...
JSON Web Token (前端与后端对话密钥生成文件)
06-28
主要使用在用户登录的时候,结合 cookie 可以让用户在您的网站登陆以后 xx 免登 token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己使用代码进行生成该对应文件 —————————————————————————————————— 生成私钥 - ssh-keygen -t rsa -b 2048 -f private.key —————————————————————————————————— 生成公钥 // window电脑不支持 openssl 代码,使用 git 提供的控制台书写即可 - openssl rsa -in private.key -pubout -outform PEM -out public.key
Node.js-一个基于token的验证登录
08-09
一个基于vue node mongodb实现Jsonwebtoken简单登录功能
distributed-jwt-cracker:使用Node.js和ZeroMQ构建的实验性分布式JWT令牌破解程序
05-02
分布式jwt饼干使用Node.js和ZeroMQ构建的实验性分布式JWT令牌破解程序。 它可以用于使用HS256签名发现未加密的JWT令牌的密码(或“秘密”)。安装通过NPM: npm i -g distributed-jwt-cracker 要求您的计算机中已经...
node——29-token使用 JsonWebToken
肖的博客
03-07 245
JsonWebToken 安装: cnpm i -S jsonwebtoken 引入: let jwt = require('jsonwebtoken'); 使用: Signing a token with 1 hour of expiration: jwt.sign({ exp: Math.floor(Date.now() / 1000) + (60 * 60), data: 'fo...
node js的token生成与验证之“jsonwebtoken
Codernmx
07-24 1966
❤️在繁华中自律,在落魄中自愈❤️ 目录一、生成token二、验证token三、完整的jwt.js 代码四、配合express使用token验证五、/api/login接口中的配置六、前端请求拦截器和响应拦截 知道token的都不用多介绍,在node js 中使用的时候是需要引入 jsonwebtoken。 导入包 npm install jsonwebtoken -save 一、生成token //生成token const generateToken = function (user) { l.
node使用jsonwebtoken实现身份认证
jieyucx的博客
07-27 1753
jwt介绍JWT)是一种基于JSON的开放标准,用于在网络上以安全方式传输声明。JWT通常用于身份验证和授权。它是一种可自包含的身份认证机制,由三部分组成头部、载荷和签名。JWT的头部和载荷都是使用Base64编码后的JSON字符串,签名是由头部和载荷使用密钥进行哈希计算得到的字符串。JWT可以在客户端和服务器之间传输,并且可以在传输过程中防止数据被篡改。由于它是无状态的,因此可以简化Web应用程序的开发和维护。在本文中,我们探讨了如何在Node.js的Express框架中使用实现身份认证
示范Node.js实现JSON Web TokenJWT)的代码教程与范例
qq_38334677的博客
03-05 994
jwtjson web token的全称,他解决了session以上的问题,优点是服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展,什么情况下使用jwt比较合适,我觉得就是授权这个场景,因为jwt使用起来轻便,开销小,后端无状态,所以使用比较广泛。
nodejs 使用jsonwebtoken进行权限验证
weixin_55510188的博客
12-30 4097
用session的方式不好实现跨域的权限验证。token保存在客户端,服务端只做token的签发和token的验证,所以jsonwebtoken可以实现跨域的权限验证。 在nodejs项目中封装一个使用jsonwebtoken进行token签发和token验证的模块。 // 导入jsonwebtoken const jwt = require('jsonwebtoken') // 本地的密钥,随便定义 const PRIVATEKET = 'huangweizhi' // token过期时间 con
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
murphysec的博客
01-11 1626
JsonWebToken
使用node.js和express-jwt写一份完整token处理以及中间件
03-31
以下是一个使用Node.js和express-jwt的完整Token处理和中间件的示例: 1. 安装必要的依赖 ``` npm install express express-jwt jsonwebtoken ``` 2. 创建一个JWT密钥 ``` const jwtSecret = 'mysecretkey'; ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值