jsonwebtoken鉴权

已于 2023-04-11 11:05:48 修改
阅读量1.1k 收藏 4
点赞数
分类专栏: Nodejs 文章标签: nodejs express jsonwebtoken jwt
于 2019-09-20 16:44:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yotcap/article/details/101064196
版权

加密语法:

jsonwebtoken.sign(payload, secretOrPrivateKey, [options, callback]);

payload 必须是一个object, buffer或者string,用来保存一些信息。
secretOrPrivateKey 是包含HMAC算法的密钥或RSA和ECDSA的PEM编码私钥的string或buffer。
options包括以下选项:

  • itemalgorithm:加密算法(默认值:HS256)
  • expiresIn:以秒表示或描述时间跨度zeit / ms的字符串。如60,“2 days”,“10h”,“7d”, -Expiration time,过期时间
  • notBefore:定义在什么时间之前,该jwt都是不可用的。以秒表示或描述时间跨度zeit / ms的字符串。如:60,“2days”,“10h”,“7d”
  • audience
  • issuer:jwt签发者
  • jwtid: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
  • subject:jwt所面向的用户
  • noTimestamp
  • header

Usage

1. 安装jwt依赖

npm:

npm i jsonwebtoken

yarn:

yarn add jsonwebtoken

2. 生成密钥

# 终端中输入OpenSSl,进入openssl
OpenSSL

OpenSSL>genrsa -out jwt.pem 1024

OpenSSl>rsa -in jwt.pem -pubout -out jwt_pub.pem

会生成两个文件:jwt.pem、jwt_pub.pem

3. 登陆接口生成token

user.js

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');

const _C = require('./constants');
// ...

Router.post('/login', (req, res) => {
  const { username, pwd } = req.body;
  User.findOne({ username }, (err, doc) => {
    if (err) throw err;
    // 用户不存在
    if (!doc) {
      return res.json(_C.CODE_NO_USER);
    } else {
      // 密码错误
      // # 简化的代码,没有密码加密存储
      if (pwd !== doc.pwd) return res.json(_C.CODE_ERROR_PWD);
      // 验证通过生成 token
      const cert = fs.readFileSync(path.resolve(__dirname, '../lib/jwt.pem'));
      const token = jwt.sign({
        user: doc.username,
        id: doc._id
      }, cert, {
        algorithm: 'RS256',    // 加密算法(默认值:HS256)
        expiresIn: '1h',    // 过期时间
      });
      return res.json({
        ..._C.CODE_SUCCESS,
        data: { token }
      });
    }
  });
});

到这里一个token就已经生成了。

4. 定义解密token的中间件

定义一个校验方法,用来当作中间件,方便使用。
utils.js

const path = require('path');
const jwt = require('jsonwebtoken');

const _C = require('./constants');
// ...

function authtoken (req, res, next) {
  const token = req.cookies.token;
  if (token) {
    const cert = fs.readFileSync(path.resolve(__dirname, './jwt_pub.pem'));
    jwt.verify(token, cert, (err, decoded) =>  {
      // token失效
      if (err) {
        res.json(_C.CODE_PERMISSION_DENIED);
      } else {
      // 放行
        req.userinfo = decoded;
        next();
      }
    });
  // 未登陆
  } else {
    res.json(_C.CODE_NO_LOGIN);
  }
}

5. 在需要的接口中加入token校验

直接在接口的定义中加入中间件即可。
user.js

const _U = require('../lib/utils');
// ...

// get user info
Router.post('/info', _U.authtoken, (req, res) => {
  const userinfo = req.userinfo;
  User.findOne({ username: userinfo.user }, (err, doc) => {
    if (err) throw err;
    if (!doc) {
      return res.json(_C.CODE_NO_USER);
    } else {
      return res.json({
        ..._C.CODE_SUCCESS,
        data: {
          name: doc.username,
          user_id: doc.username,
          access: [doc.type]
        }
      });
    }
  });
});
yotcap
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JSON WEB TOKEN(JWT)
qq_38344321的博客
03-01 232
JWT是toke的一种形式。主要由header(头部)、payload(载荷)、signature(签名)这三部分字符串组成,这三部分使用".“进行连接,完整的一条JWT值为${header}.${payload}.${signature},例如下面使用”."进行连接的字符串: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiMTEiLCJpYXQiOjE2MTQzMjU5NzksImV4cCI6MTYxNDMyNTk4MH0.iMjzC_jN3iwSpIy
JWT的应用及配置
qq_15832329的博客
11-27 775
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外
基于Token的身份验证——JSON Web Token
JackDan9
09-05 1187
基于Token的身份验证——JSON Web Token Token的维基百科 token的维基百科,可以了解Token的发展和定义。 Token的广泛应用 现如今的很多大型网站,比如Facebook、Twitter、Google+以及Github等等,比起传统的身份验证方法,Token扩展性更强,也更安全点,非常适合用在Web应用或者移动应用上。 Token的在中文翻译中有”令...
网络安全防护-JSON WEB TOKEN讲解与实战_jsonwebtoken 规范(2)
2301_76224593的博客
04-29 639
然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
JSON Web Token
最新发布
weixin_74020633的博客
05-31 716
JWTJSON Web Token)是一种用于在各方之间作为JSON对象安全地传输信息的开放标准(RFC 7519)。该信息经过数字签名,因此是可验证和可信的。JWT 可以使用HMAC算法或使用RSA的公钥/私钥对进行签名。
node笔记:node expressjsonwebtoken+express-jwt实现token登录验证两种方式(尽力写详细了)
热门推荐
weixin_45295262的博客
12-28 2万+
之前用过token,也知道是用来授权的,但是不知道后端如何生成,为什么一定要用token,token又是怎么验证的等等,希望这篇文章帮到和我一样学啥忘啥的笨蛋… 1.简单了解JWT 1.JWT 的数据结构 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjp7fSwidHlwZSI6ImV4cHJlc3Mtand0IiwiY3RpbWUiOjE2MDkwNzk0OTkzMzYsImlhdCI6MTYwOTA3OTQ5OSwiZXhwIjoxNjA5MDgzMDk5
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
<groupId>io.jsonwebtoken <artifactId>jjwt <version>0.9.1 <!-- 字符串转换 --> <groupId>org.apache.commons <artifactId>commons-lang3 <version>3.4 ``` 接着,定义用户和角色实体类,如`User`和`...
koa2服务端使用jwt进行鉴权及路由权限分发的流程分析
10-16
在本文中,我们将深入探讨如何在Koa2服务端使用JSON Web TokenJWT)进行鉴权以及实现路由权限分发。JWT是一种安全地在客户端和服务端之间传输信息的标准,通过签名确保数据的完整性和不可篡改性。在Koa2框架中,...
Node.js Koa2使用JWT进行鉴权的方法示例
10-18
本文将深入探讨如何在Node.js Koa2框架下利用JSON Web TokenJWT)进行鉴权JWT是一种标准,用于在两个不同的系统之间安全地传递信息,其特点是轻量级、自包含且可验证。在Koa2中,JWT通常与`jsonwebtoken`库和`...
springboot-graphql-sqqr-jwt-demo:GraphQL Java后端代表使用Spring Boot,graphql-spqr和jsonwebtoken进行身份验证的正确方法
05-16
GraphQL Java后端代表了使用Spring Boot, 和jsonwebtoken进行身份验证/授权的正确方法令牌 java qraphql实现的强大之处令人赞叹,它使使用常规jsonwebtoken和简单过滤器的实现像Spring Security一样容易实现 ...
解锁互联网安全的新钥匙:JWTJSON Web Token
weixin_74268571的博客
10-13 1734
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理和JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
jsonweb token验证问题
qq_44242030的博客
05-07 968
jwt 原理 客户端用户使用用户名和密码通过 POST 请求登录或注册 服务端确认用户合法,生成一个 JWTJWT 返回给客户端,客户端将其保存在本地(一般保存在 localStorage 中) 之后客户端向服务端发送 HTTP 请求需要将 JWT 加入请求头中 服务器解析 JWT,检查是否合法且有效 根据检查结果对客户端做出响应 JWT 结构 服务端生成的 JWT 是一段很长的字符串...
Nodejs入门 token校验
2303_76218115的博客
08-31 1055
token校验作为项目里的必要项,其重要性不言而喻,今天介绍一个在Node.js中备受推崇的神奇工具——jsonwebtoken一、token是什么jsonwebtoken是什么?在互联网世界中,Token是一种用于表示身份验证和授权的令牌。以为例,它生成的JWT就是一种TokenToken通常由服务器颁发给用户,并在用户进行身份验证后用于标识用户身份。当用户希望访问需要授权的资源时,Token就成为了一种凭证,用于证明用户的身份和权限。
node中使用jsonwebtoken实现身份认证
jieyucx的博客
07-27 1701
jwt介绍JWT)是一种基于JSON的开放标准,用于在网络上以安全方式传输声明。JWT通常用于身份验证和授权。它是一种可自包含的身份认证机制,由三部分组成头部、载荷和签名。JWT的头部和载荷都是使用Base64编码后的JSON字符串,签名是由头部和载荷使用密钥进行哈希计算得到的字符串。JWT可以在客户端和服务器之间传输,并且可以在传输过程中防止数据被篡改。由于它是无状态的,因此可以简化Web应用程序的开发和维护。在本文中,我们探讨了如何在Node.js的Express框架中使用来实现身份认证。
node使用JSON Web Token (JWT)身份验证
失眠时间的博客
12-15 754
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT是由header(头部)payload(数据)signature(签名)三部分组成,中间用点分隔开,并且都会使用 Base64 编码。 ———————————————— 版权声明:本文为CSDN博主「失眠时间」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
在node.js中使用​ JsonWebToken模块进行token加密
嗨皮的博客
12-09 3160
token的含义以及在前后端对用户验证的作用,token的验证流程
Nodejs使用jsonwebtoken生成tokenexpress-jwt解析和校验token
LLL3189860667的博客
09-01 4049
亲爱的小伙伴你好,你是否还在苦恼如何在自己使用Nodejs写的接口中生成token字符串,以及解析从客户端发送过来的token字符串呢?别担心,下边我将通过详细的步骤以及一个小案例来教会你如何进行相关操作。
java spring mvc jwt 鉴权
05-26
在Java Spring MVC中进行JWT鉴权,可以遵循以下步骤: 1. 添加依赖项:首先需要添加以下依赖项到Maven或Gradle项目中: ``` <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.10.5 <groupId>io....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值