Node.js使用JWT完成用户认证机制

最新推荐文章于 2024-07-04 09:14:04 发布
最新推荐文章于 2024-07-04 09:14:04 发布
阅读量594 收藏 2
点赞数
文章标签: node.js http 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48456678/article/details/122986010
版权
了解Session认证的局限性

Session认证机制需要配合Cookie才能实现。由于Cookie默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口时,需要做很多额外的配置,才能实现跨域Session认证。

  • 当前端请求后端不存在跨域问题时,推荐使用session。
  • 当前端请求后端存在跨域问题时,推荐使用JWT。

JWT认证机制

用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。

JWT

JWT 组成部分:

  • Header、Payload、Signature
  • Payload 是真正的用户信息,加密后的字符串
  • Header 和 Signature 是安全性相关部分,保证 Token 安全性
  • 三者使用 . 分隔

JWT 使用方式:

  • 客户端会把 JWT 存储在 localStorage 或 sessionStorage 中
  • 此后客户端与服务端通信需要携带 JWT 进行身份认证,将 JWT 存在 HTTP 请求头 Authorization 字段中
  • 加上 Bearer 前缀
Express 使用 JWT

  1. 安装

    • jsonwebtoken 用于生成 JWT 字符串
    • express-jwt 用于将 JWT 字符串解析还原成 JSON 对象
    npm install jsonwebtoken express-jwt

  2. 定义 secret 密钥

    • 为保证 JWT 字符串的安全性,防止其在网络传输过程中被破解,需定义用于加密和解密的 secret 密钥
    • 生成 JWT 字符串时,使用密钥加密信息,得到加密好的 JWT 字符串
    • 把 JWT 字符串解析还原成 JSON 对象时,使用密钥解密
    const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')

// 密钥为任意字符串
const secretKey = 'February'

  3. 生成 JWT 字符串

    app.post('/api/login', (req, res) => {
  ...
  res.send({
    status: 200,
    message: '登录成功',
    // jwt.sign() 生成 JWT 字符串
    // 参数:用户信息对象、加密密钥、配置对象-token有效期
    // 尽量不保存敏感信息,因此只有用户名,没有密码
    token: jwt.sign({username: userInfo.username}, secretKey, {expiresIn: '10h'})
  })
})

  4. JWT 字符串还原为 JSON 对象

    • 客户端访问有权限的接口时,需通过请求头的 Authorization 字段,将 Token 字符串发送到服务器进行身份认证
    • 服务器可以通过 express-jwt 中间件将客户端发送过来的 Token 解析还原成 JSON 对象
    // unless({ path: [/^\/api\//] }) 指定哪些接口无需访问权限
app.use(expressJWT({ secret: secretKey }).unless({ path: [/^\/api\//] }))

  5. 获取用户信息

    • 当 express-jwt 中间件配置成功后,即可在那些有权限的接口中,使用 req.user 对象,来访问从 JWT 字符串中解析出来的用户信息
    app.get('/admin/getinfo', (req, res) => {
  console.log(req.user)
  res.send({
    status: 200,
    message: '获取信息成功',
    data: req.user,
  })
})

  6. 捕获解析 JWT 失败后产生的错误

    • 当使用 express-jwt 解析 Token 字符串时,如果客户端发送过来的 Token 字符串过期或不合法,会产生一个解析失败的错误,影响项目的正常运行
    • 通过 Express 的错误中间件,捕获这个错误并进行相关的处理
    app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    return res.send({ status: 401, message: 'Invalid token' })
  }
  res.send({ status: 500, message: 'Unknown error' })
})
实现代码
//jsonwebtoken用于生成jwt字符串
const jwt = require('jsonwebtoken');
// express-jwt用于将jwt字符串解析成JSON对象
const expressJWT = require('express-jwt');
const express = require('express');

const app = express();
app.use(express.urlencoded({ extended: false }));
// 定义secret密钥
const secretKey = 'February';
// 将jwt字符串解析还原成json对象的中间件
app.use(
    expressJWT({
        secret: secretKey,
        algorithms: ['HS256'],
    }).unless({ path: [/^\/api\//] })
);
app.post('/api/login', (req, res) => {
    if (req.body.username != 'fddm' || req.body.password != '123456')
        return res.send({
            status: '登录失败',
        });
    // 调用jwt.sign()方法生成jwt字符串
    const token = jwt.sign({ username: req.body.username }, secretKey, { expiresIn: '30s' });
    res.send({
        status: '登录成功',
        token: token,
    });
});
app.get('/admin/getinfo', (req, res) => {
    res.send({
        message: '获取用户成功',
        data: req.user,
    });
});
// 使用全局错误处理中间件,捕获解析jwt失败产生的错误
app.use((err, req, res, next) => {
    if (err.name === 'UnauthorizedError') {
        return res.send({
            message: '登录过期请重新登录',
        });
    }
    res.send({
        message: '未知错误,请联系管理员维护',
    });
});
app.listen('8080', () => {
    console.log('服务器启动了');
});
王绣丽
关注
Node.js web常用技术-JWT
weixin_65257540的博客
04-12 982
1、和浏览器本身是没有关系,是凭空生成的(更安全),和session/cookie不一样(浏览器自带的,可以进行管理)。 2、JWT在手机,浏览器、平板、桌面应用都可以使用。 3、jwt只是一个令牌格式而已,你可以把它存储到cookie,也可以存储到localstorage,没有任何限制! 4、session和cookie都保存在cookie。 概念: jwt全称Json Web Token,强行翻译过来就是json格式的互联网令牌。 它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格
Node.js使用jwt或session实现前后端身份认证
SongD1114的博客
04-03 1222
Node.js通过session或jwt身份认证
使用NodeJS实现JWT原理
神以灵的博客
09-19 794
使用NodeJS实现JWT原理 jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token 为什么需要会话管理 我们用nodejs前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户的上下文进行操作。所以出现了cookies session还有jwt这几种技术的出现, 都是对HTTP协议的一个补充。使得我们可以用HTTP协议+状态管理构
node.js如何使用JWT(JSON Web Token)进行认证
最新发布
有我更精彩的博客
07-04 1058
JSON Web Token(JWT)是一种用于声明某些权利的JSON对象。头部(Header)载荷(Payload)签名(Signature)在这篇博客中,我们详细介绍了如何在Node.js使用JWT进行用户认证。我们讨论了JWT的基本构成及其组成部分,并提供了完整的Node.js示例代码来说明如何实现JWT认证。通过这个示例,你可以将JWT轻松集成到你的Web应用中,实现安全和高效的用户认证。最后问候亲爱的朋友们,并邀请你们阅读我的全新著作。
Node.js 使用JWT进行用户认证
weixin_34096182的博客
09-04 361
代码地址如下:http://www.demodashi.com/demo/13847.html 运行环境 该项目基于 node(v7.8.0版本以上) 和 mongodb 数据库,因此电脑上需要安装这两个软件,安装教程自行百度。mongodb教程。如果实在不懂安装,请勿下载代码。 运行项目 此处已代表已经安装完成了node和mongodb,下载代码之后,目录结构是这样子的: 接下来需要安装依...
Node.jsjwt (jsonwebtoken)
小秀的博客
10-16 1023
JWT(JSON Web Token)是一种用于实现身份验证和授权的开放标准。它是一种基于JSON的安全传输数据的方式,由三部分组成:头部、载荷和签名。
其他内容:使用 Node.js 进行 JWT 身份验证
新华编程特战队
03-16 902
有几种方法可以将信息从一方传输到另一方。非常重要的是,共享的信息不受任何第三方的干扰。智威汤逊是检查传输数据有效性的方法之一。JSON 的无状态、轻量级和流行等功能使 JWT 成为最兼容和最易于使用的。基于开放标准 (RFC 7519) 的 JSON Web 令牌是一种基于 JSON 的方法,用于通过网络传输数据。它是一种紧凑且自包含的方法,其中使用身份提供程序提供的私钥或公钥对对数据进行数字签名。这允许参与传输的各方验证数据的完整性和真实性。
Node.JS如何实现JWT原理
10-14
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于无状态的Web应用程序,如基于Node.js的API服务。JWT通过一个自包含的数字签名来确保数据完整性和防止篡改。下面是关于JWTNode.js实现JWT的详细解释:...
Node.js的Koa实现JWT用户认证方法
10-18
Koa经常与JSON Web Tokens(JWT)配合使用,来实现安全的用户认证机制。接下来,我们将详细解析如何使用Koa框架实现JWT用户认证的整个流程。 首先,我们来了解几个关键的前置知识。基于Token的身份验证是一种流行的...
token_auth_passport:使用Node.js,Passport.js和JWT使用令牌认证的项目,以便生成可以根据每个用户的请求在API中进行验证的令牌
05-18
**标题解析:** ...总结来说,"token_auth_passport"项目提供了一个使用Node.js、Passport.js和JWT的示例,展示了如何在实际应用中实施安全的令牌认证机制,这对于理解Web服务安全和API设计有重要的参考价值。
详解Node.js使用token进行认证的简单示例
10-15
在本文中,我们将深入探讨如何在Node.js环境中使用Token进行认证,特别是通过JSON Web Tokens (JWT) 实现这一过程。JSON Web Tokens 是一种安全的身份验证机制,常用于API和单页应用程序。在这个简单的示例中,我们...
nodeJSjwt基本用法
热门推荐
吴纯玲的博客
12-18 1万+
官网》https://jwt.io/ jwt全称json web token 。jwt.io是用于令牌签名/验证的库,用来生成jwt。简单理解一下,就是 jwt.io这个库,提供了一种方法可以将一些信息加密,形成一串长长的字符串,类似于'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4...
nodejs使用jwt
hanq2016的博客
08-11 693
nodejs使用jwt
nodejs使用JWT
黎小小的博客
03-10 567
【代码】nodejs使用JWT
nodejs使用JWT(全)
weixin_68658847的博客
01-12 5301
nodejs使JWT(全)
nodejs 使用jwt
u013571243的专栏
08-09 2957
JWT使用 JWT对比session
nodeJs-身份认证(JWT)
软工二班秦同学的博客
04-01 539
2、权限操作:在登录成功的前体下,不同的角色有不同的权限身份认证实现的方式:1、后端采用session 前端采用cookie2、后端采用jwt 前端采用本地存储token:临时身份认证令牌 登录成功后,后端或返回一个字符串给前端【这个字符串就称为token】,以后每次前端访问后端资源的时候就将这个令牌带着,后端就根据是否有这个令牌来判断是否进行了登录操作。
nodejs 使用 jwt(简易版)
sky_bo的博客
01-28 417
nodejs 使用 jwt const jwt = require("jsonwebtoken"); const cert = "ksdhy_yb"; /** * 登陆验证,生成token * @param {string} username 用户名 * @param {string} password 密码 */ function generateToken(username, password) { return jwt.sign( { // token数据
node.js实现jwt验证
weixin_43419774的博客
05-25 1414
使用jwt完成token验证 安装npm包 安装 jsonwebtoken npm i jsonwebtoken --save 用法 生成token Info:传入的参数,可以把用户信息传入 secret:自定义秘钥,用来加密/解密,如secret = ‘advewgf3%#’ expiresIn:过期时间,如 expiresIn: 60 * 60, expiresIn: ‘1day’, exp...
node.js用户认证和授权
08-16
Node.js中,可以使用不同的方法来实现用户认证和授权。一个常见的方法是使用Session认证机制,这可以通过在服务器端渲染中使用。另一个方法是使用JWT认证机制,这适用于前后端分离的开发模式。以下是对这两种方法的简要介绍: 1. Session认证机制:Session认证是一种基于服务器端的身份认证机制。它的实现方式是,在用户登录时,服务器会为该用户创建一个唯一的会话标识(通常是一个Session ID),并将该会话标识存储在服务器的内存或数据库中。随后,每次用户发送请求时,服务器会检查请求中是否包含有效的会话标识,并验证该会话标识的有效性。如果验证通过,则认为用户是合法的,可以授予相应的权限。Session认证机制可以结合其他技术(如Cookie)来实现用户的持久登录状态。这种方法适用于服务器端渲染的开发模式。 2. JWT认证机制JWT(JSON Web Token)是一种基于令牌的身份认证机制,适用于前后端分离的开发模式。它的实现方式是,在用户登录成功后,服务器会生成一个JWT令牌,并将其返回给客户端。客户端在后续的请求中,将该令牌作为身份认证的凭证发送给服务器。服务器接收到令牌后,会对其进行验证,并解析出其中的用户信息。JWT令牌包含了用户的身份信息以及一些签名信息,因此具有防伪造的特性。使用JWT认证机制可以在前后端分离的情况下实现用户认证和授权。 总结起来,在Node.js中,可以使用Session认证机制JWT认证机制来实现用户认证和授权,具体选择哪种方法取决于开发模式和需求。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Node.js使用jwt或session实现前后端身份认证](https://blog.csdn.net/SongD1114/article/details/123932616)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [Node.js的Web后端开发调研](https://blog.csdn.net/fireroll/article/details/127465892)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值