Express中的JWT使用

最新推荐文章于 2024-06-25 15:56:11 发布
最新推荐文章于 2024-06-25 15:56:11 发布
阅读量4.6k 收藏 24
点赞数 10
分类专栏: Node.js 文章标签: 前端 express
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47295886/article/details/126831623
版权

安装jwt相关的包两个:jsonwebtoken \ express-jwt

jsonwebtoken :作用生成JWT字符串(在服务器中将用户的信息转成JWT字符串)

express-jwt:将JWT字符串解析还原成JSON对象(从客户端保留的JWT加密字段 使用此包将用户的信息还原成真正的用户信息)

首先 新建文件夹:然后运行npm init -y  生成 package.json

之后安装需要的包 npm i jsonwebtoken   和 npm i express-jwt——全部需要的包

安装包使用空格将所有与的包进行分隔开 一起导入

 

const jwt=require('jsonwebtoken')//生成JWT
const expressJWT=require('express-jwt')//解析JWT

定义secret密钥

为了保证JWT字符串的安全性,防止jwt字符串传输的过程中别人破解,我们需要专门定义一个用于加密和解密的secret密钥:

  • 当生成JWT字符串的时候,需要使用secret密钥对用户的信息进行加密,最终得到加密好的JWT字符串
  • 当把JWT字符串解析还原成JSON对象的时候,需要对secret密钥进行解密(使用和前面加密相同的密钥)

如果定义:secret密钥的本质是一个字符串,所以定义字符串就可以

const secretKey=abdbdodjod-^-^-' 

如何在登录成功后生成JWT字符串——生成Token

        调用jsonwebtoken包中的sign()方法,将用户的信息加密生成JWT字符串,响应给客户端

sign({用户信息对象,密钥,配置对象(里面可配置expireIn:'30s' 指定token字符串的有效期)})

    //用户信息对象 密钥 有效期
    const tokenStr= jwt.sign(
    {username:req.body.username},secretKey,{expiresIn:'30'}//30=30秒 30h=30小时
    )

将JWT字符串还原成为JSON对象——解析Token

        客户端每次访问有权限的接口的时候,都需要主动通过请求头的Authorization字段,将Token字符串发送到服务器进行身份认证。此时我们调用express-jwt中间件,自动将客户端发送过来的Token解析还原成JSON对象:

app.use()注册中间件

expressJWT({secret:secretKey})         使用密钥解析Token的中间件

.unless({patn:[/^\/api\//]})         用来指定哪些接口不需要访问权限----正则表达式 /api开头的

使用req.user(req.auth)获取用户信息——有权限的接口

使用express-jwt这个中间件配置成功后,即可在那些有权限的接口中,使用req.user对象,来访问JWT字符串中解析出来的用户信息——正常情况下,req里面是没有属性的,当配置解析token的中间件完成后,会自动将解析出来的用户信息挂载到req.user上————express-jwt - npm

查看最新文档 

安装的第三方包

app.js(登录成功之后加密用户的信息对象——为了保证安全性 不要将密码进行加密——

//HS256 使用同一个「secret_key」进行签名与验证

//RS256 是使用 RSA 私钥进行签名,使用 RSA 公钥进行验证。

注意发送响应头的时候需要加上Bearer空格


//导入express模块
const express=require('express')

//创建web服务器
const app=express()
const jwt=require('jsonwebtoken')//生成JWT
var { expressjwt: expressJWT } = require("express-jwt");//解析JWT

//解决接口跨域问题
const cors=require('cors')
app.use(cors())
//配置解析表单数据的中间件 POST请求
app.use(express.urlencoded({extended:false}))
//定义secret密钥
const secretKey='--234--'
//挂载路由
//HS256 使用同一个「secret_key」进行签名与验证 
//RS256 是使用 RSA 私钥进行签名,使用 RSA 公钥进行验证。
app.use( expressJWT({secret:secretKey,algorithms: ["HS256"]}).unless({path:[/^\/api\//]}))// /匹配的内容/ ^不在\转义/api/

app.post('/api/login',(req,res)=>{
    //判断用户提交的登录信息是否正确
    if(req.body.username !=='admin'||req.body.password!=='0000'){
         return res.send(
             {status:400,msg:'登录失败'}
         )//服务器发送给客户端
    }
    //登录成功之后加密用户的信息对象——为了保证安全性 不要将密码进行加密
    //否则token泄露 你的密码也泄露了
    //用户信息对象 密钥 有效期
    const tokenStr= jwt.sign(
    {username:req.body.username,a:req.body.hello},secretKey,{expiresIn:'1h'}//30=30ms 30h=30小时 我设置的比较长 为了防止我使用get命令太慢了
    )
    //登录成功生成jwt字符串
    res.send({status:202,
        msg:'登录成功',
        token:tokenStr,//要发送给客户端的token字符串
    })//服务器发送给客户端状态
  
 })
//有权限
app.get('/admin/getinfo',(req,res)=>{
    console.log(req.auth)
    res.send({
        status:200,
        message:'获取用户信息成功',
        data:req.auth,//要发送给客户端的用户信息
    })
})
//启动服务器、使用80端口
app.listen(8888,()=>{
    console.log('http://127.0.0.1:8888  启动成功')
})

  

 

 

捕获解析JWT(即解析token)失败后产生的错误——错误中间件在最后 进行捕获错误

当使用express-jwt解析Token字符串时,如果客户端发送过来的Token字符串过期或不合法,会产生一个解析失败的错误,影响项目的正常运行,可以通过Express的错误中间件,捕获这个错误并进行相关的处理

app.use---err.name==UnauthorizeError——Token解析失败

//全局中间件
app.use(function (err, req, res, next) {
    if (err.name === "UnauthorizedError") {
        res.send({
                status:401,
                message:'无效的Token',

            })
    }  
    res.send({
            status:500,
            message:'未知的错误',
        }
    )
  });

//导入express模块
const express=require('express')

//创建web服务器
const app=express()
const jwt=require('jsonwebtoken')//生成JWT
var { expressjwt: expressJWT } = require("express-jwt");//解析JWT

//解决接口跨域问题
const cors=require('cors')
app.use(cors())
//配置解析表单数据的中间件 POST请求
app.use(express.urlencoded({extended:false}))
//定义secret密钥
const secretKey='--234--'
//挂载路由
//HS256 使用同一个「secret_key」进行签名与验证 
//RS256 是使用 RSA 私钥进行签名,使用 RSA 公钥进行验证。
app.use( expressJWT({secret:secretKey,algorithms: ["HS256"]}).unless({path:[/^\/api\//]}))// /匹配的内容/ ^不在\转义/api/

app.post('/api/login',(req,res)=>{
    //判断用户提交的登录信息是否正确
    if(req.body.username !=='admin'||req.body.password!=='0000'){
         return res.send(
             {status:400,msg:'登录失败'}
         )//服务器发送给客户端
    }
    //登录成功之后加密用户的信息对象——为了保证安全性 不要将密码进行加密
    //否则token泄露 你的密码也泄露了
    //用户信息对象 密钥 有效期
    const tokenStr= jwt.sign(
    {username:req.body.username,a:req.body.hello},secretKey,{expiresIn:'60s'}//30=30ms 30h=30小时 我设置的比较长 为了防止我使用get命令太慢了
    )
    //登录成功生成jwt字符串
    res.send({status:202,
        msg:'登录成功',
        token:tokenStr,//要发送给客户端的token字符串
    })//服务器发送给客户端状态
  
 })
//有权限
app.get('/admin/getinfo',(req,res)=>{
    console.log(req.auth)
    res.send({
        status:200,
        message:'获取用户信息成功',
        data:req.auth,//要发送给客户端的用户信息
    })
})
//全局中间件
app.use(function (err, req, res, next) {
    if (err.name === "UnauthorizedError") {
        res.send({
                status:401,
                message:'无效的Token',

            })
    }  
    res.send({
            status:500,
            message:'未知的错误',
        }
    )
  });
//启动服务器、使用80端口
app.listen(8888,()=>{
    console.log('http://127.0.0.1:8888  启动成功')
})

 

¡Venceremo
关注
  • 10
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
express-jwt:connectexpress间件,用于验证JsonWebToken(JWT)并使用属性设置req.user
02-27
快递 该模块提供Express间件,用于通过模块验证JWT( )。 解码的JWT有效负载在请求对象上可用。 安装 $ npm install express-jwt 用法 使用HS256密码的基本用法: var jwt = require ( 'express-jwt' ) ; app . get ( '/protected' , jwt ( { secret : 'shhhhhhared-secret' , algorithms : [ 'HS256' ] } ) , function ( req , res ) { if ( ! req . user . admin ) return res . sendStatus ( 401 ) ; res . sendStatus ( 200 ) ; } ) ; 可以通过user属性在请求使用已解码的JWT
express框架使用jwt实现验证的方法
10-16
接下来,我们逐步介绍如何在Express应用使用JWT进行用户验证: 1. 安装依赖模块 在项目,我们需要安装`passport`、`passport-jwt`、`jsonwebtoken`和`mongoose`等模块。这些模块分别用于实现用户认证、处理JWT...
Express使用JWT
m0_63400611的博客
04-19 5543
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
Express 使用jwt登录的流程
最新发布
2301_79577017的博客
06-25 134
4. 存储JWT:客户端(如浏览器)将接收到的JWT存储在本地(如localStorage)或发送到服务器上的特定位置(如数据库或Redis),以便稍后进行验证。10. 注销用户:用户可以选择注销,这将导致客户端删除存储的JWT并将其发送到服务器进行注销。7. 授予访问权限:服务器将客户端请求的资源发送给客户端,同时允许客户端在一定时间内访问其他受保护的资源,而无需再次进行身份验证。8. 令牌过期:JWT具有一定的有效期,一旦过期,客户端必须重新进行身份验证并获取新的JWT
Express 使用 JWT
Anorry的博客
03-24 936
Express 使用 JWT 相关内容
express 里面前后端身份验证 JWT 认证总结
峰会路转的博客
04-09 1094
我们在其他接口解析客户端的token信息的时候,最新版的express-jwt有变化,需要使用req.auth来获取客户端的token,与较早版本的获取方式有差异,req.user,这里需要注意!由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。总结:用户信息通过 token 字符串的形式,保存在客户端浏览器,在需要验证身份的接口,服务端对请求的头信息进行分析,还原 token 信息来进行身份认证。
Express项目JWT使用方法
做个懂管理、懂产品,懂技术的大叔
04-29 7134
JWT的用户验证方式,在API接口开发使用比较常见;在Express API项目如何使用,看了这篇你就会了。
node-auth-api:使用ExpressJWT构建的基本身份验证API
05-08
使用ExpressJWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
express-jwt-blacklist:用于令牌黑名单的express-jwt插件
05-16
var jwt = require ( 'express-jwt' ) ; var blacklist = require ( 'express-jwt-blacklist' ) ; var app = express ( ) ; app . use ( jwt ( { secret : 'my-secret' , isRevoked : blacklist . isRevoked } ) )...
express-jwt-permissions:用于JWT权限的Express间件
02-05
检查JWT令牌的权限的间件,建议与一起使用。 安装 npm install express-jwt-permissions --save 用法 该间件假定您已经具有JWT身份验证间件,例如 。 间件将检查已解码的JWT令牌,以查看令牌是否具有发出...
node-express-jwt-auth:这是一个用于学习目的的nodejs和express js jwt认证站点
05-10
这是一个用于学习目的的nodejs和express js jwt身份验证站点。 一个简单的NodeJs网站 这是一个身份验证应用 通过身份验证保护特定页面 登录,带有验证器的注册页面 仅在navbar登录后显示名称并注销btn 托管在...
nodejs-express-jwt:具有JWT身份验证并支持MySQL和PostgreSQLNode.js Express REST API样板
04-30
nodejs-express-jwt 具有JWT身份验证并支持MySQL和PostgreSQLExpress REST API Boilerplate。 通过编译; 通过身份验证; 通过; development , testing和production 。 目录 执照 版本通知 自2018年首次发布以来,该项目已经走了很长一段路。如果您在2021年之前使用此样板,则应检查v0.xx分支和v0标签以了解v0的最新更改。 安装与使用 首先克隆此存储库 # HTTPS $ git clone https://github.com/MarkKhramko/nodejs-express-jwt 然后使用npm # Enter project root $ cd nodejs-express-jwt # Install dependencies $ npm i # Copy env
express-jwt-auth:Express.js JWT身份验证
04-18
Express.js JSON Web令牌认证 RESTful API,具有使用Express.js和JWT的基于角色的身份验证。 特征 用户CRUD 用户认证 基于角色的身份验证间件 要求 $ git clone https://github.com/GoldB/express-jwt-auth $ cd express-jwt-auth $ npm install $ npm run start 技术领域 作者 布鲁诺·亨里克·德拉·伯纳达·希尔格伯格。 cadernetinhacheia@gmail.com
expressangular-jwt:使用 jsonwebtoken 和 express-jwt 节点模块的 Json Wen Token 认证和授权
07-07
expressangular-jwt 使用 jsonwebtoken 和 express-jwt 节点模块(Egghead.io jwt 课程)的 Json Wen Token 认证和授权。 指示: 安装 凉亭安装 节点服务器 转到:
【Node.js】Node.js入门(八):express-jwt
郭老二
11-03 2814
可以使用getToken选项指定从请求提取令牌的自定义函数。客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再把这个token返回给客户端客户端收到token后可以把它存储起来,比如放到cookie客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header携带。
jwtexpress使用方法
badoldboy的博客
11-29 3794
关于JWT的具体介绍大家可以去看 阮一峰 JSON Web Token 入门教程 本文主要介绍jwtexpress使用方法: 1、安装依赖 jsonwebtoken 主要用来生成JSON Web Token npm install jsonwebtoken express-jwt 主要用来验证JSON Web Token npm install express-jwt crypto 用来对数据进行加密 npm install crypto 2、生成Token 用户登录成功后产生Token。
Express框架实现JWT
Yusen2001的博客
07-08 1096
JWT JSON Web Token是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。   JWT由三部分组成 1.Header:由两部分组成:token的类型(“JWT”)和加密算法的名称(SHA256,RSA等)。 2.Payload:包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。简单来说就是存储在token用户自定义的数据。 3.Signature:密钥。   Expres
jwt认证方式在express使用
weixin_34232363的博客
03-29 426
JWT(JSON Web Token),字面意思很好理解,就是Web的JSON令牌。一种通过Web可以安全传递JSON格式信息的机制 装备package.json包依赖文件 {"dependencies": { "body-parser": "^1.17.2", "express": "^4.15.3", "exp...
Expressexpress-jwt
小秀的博客
03-24 304
通常可以使用 jwt 进行 token 的生成,使用 express-jwt 进行 token 的验证。express-jwt是对jsonwebtoken进行了封装,在验证策略方面做了很多扩展。
nodejsexpress-jwt
05-24
使用 `express-jwt`,你可以在 Express 路由通过检查 JWT 来实现对受保护资源的访问控制。当客户端发送请求时,`express-jwt` 会自动验证 JWT,并在验证失败时返回错误响应。 在使用 `express-jwt` 之前,你需要...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值