阅读 77

node中使用jwt实现token身份验证

Cookie认证机制

1、用户向服务器发送用户名和密码。

2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。

3、服务器向用户返回一个session_id,写入用户的Cookie

4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

Token认证机制

我之前一直以为cookie和token是一样的,就是后台返回一个字符串保存在前端,之后的请求都带着这个字符串,后台去做校验,深入了解后知道两者是有很大区别的,是两种不同的机制。

cookie认证需要后台存一份session_id到数据库,多服务器时需要session共享。而token认证则不需要后台保存,token一般放在HTTP请求头的Authorization中。

JWT

JSON Web Token (JWT)是一种开放标准,使用数字签名安全传输信息。JWT常用场景:授权(Authorization)和信息交换(Information Exchange)。授权是最常用JWT的场景。

JWT就是一个由‘.’分隔的字符串,这个字符串包含三个部分:Header、Payload、Signature。因此JWT的形式就是xxxxx.yyyyy.zzzzz

jwt实现token身份验证

1. 在express项目中安装jsonwebtoken依赖

npm i jsonwebtoken --save
复制代码

2. 新建authorization.js

const jwt = require("jsonwebtoken");

const secretKey = "secretKey";

// 生成token
module.exports.generateToken = function (payload) { 
  const token =
    "Bearer " +
    jwt.sign(payload, secretKey, {
      expiresIn: 60 * 60,
    });
  return token;
};

// 验证token
module.exports.verifyToken = function (req, res, next) {
  const token = req.headers.authorization.split(" ")[1];
  jwt.verify(token, secretKey, function (err, decoded) {
    if (err) {
      console.log("verify error", err);
      return res.json({ code: "404", msg: "token无效" });
    }
    console.log("verify decoded", decoded);
    next();
  });
};
复制代码

注意:生成 token 时加了前缀'Bearer ',验证时要把'Bearer '去掉, req.headers.authorization.split(" ")[1],不然会出现JsonWebTokenError: invalid token的错误,验证失败。

3. 登录接口生成token返回给前端

// login.js
const express = require("express");
const router = express.Router();
const { generateToken } = require("./authorization");

// 路由
router.post("/", (req, res) => {
  const username = req.body.username;
  const password = req.body.password;
  const token = generateToken({ username: username });
  res.json({
    code: 200,
    msg: "登录成功",
    data: { token },
  });
});

module.exports = router;
复制代码

4. 在app.js中注册中间件

const loginRouter = require("./login");
const auth = require("./authorization");
const userRouter = require("./user");

app.use("/api/login", loginRouter);
app.use("/api/*", auth.verifyToken); // 注册token验证中间件
app.use("/api/user", userRouter);
复制代码

注意:验证token的中间件要放在login路由之后,其他需要验证的路由之前

5. 验证接口

登录:

image.png

获取用户列表:

image.png

无效token:

image.png

参考链接

jwt.io/introductio…

github.com/auth0/node-…

www.ruanyifeng.com/blog/2018/0…

文章分类
后端
文章标签
Node.js
相关推荐
  • CharTen
    3月前
    Node.js
    jwt生成的token,应该存在哪里?
    早上逛某乎的时候,遇到一位同学在问这个问题,很好奇jwt的存储位置。刚好前段时间在学习此内容,不请自邀,厚颜强答。
    • 4663
    • 16
  • 折月
    4月前
    .NET
    .net core Jwt token验证与jose token解析
    一般项目中对接登录需要token验证用户信息,最近架构了一套后端基于.net core的系统框架,下面把过程中集成jwt遇到的问题分享给大家。 实现逻辑: 登录后利用jwt生成token包含用户基本信
    • 179
    • 评论
  • liyuanzhe-cn
    2年前
    Node.js
    解析jsonwebtoken(jwt)在nodejs中的使用。
    这里要用到三个插件,加上前端一共是至少4个插件使用jsonwebtoken进行加密和使用jwt无密钥解析后端对发送给前端的token进行有密钥解析passport//token解析主插件相当于各种pa
    • 2634
    • 评论
  • 远航_
    7天前
    前端 Vue.js
    实现无感刷新token,我是这样做的
    最近在做需求的时候,涉及到登录token,产品提出一个问题:能不能让token过期时间长一点,我频繁的要去登录。 前端:后端,你能不能把token 过期时间设置的长一点。 后端:可以,但是那样做不安全
    • 1.2w
    • 43
    实现无感刷新token,我是这样做的
  • 唐金健
    3年前
    Node.js koa
    Node.js的Koa实现JWT用户认证
    以下是基本的代码,实现静态服务器,以及一个当token验证异常时候的处理。 下面我们将在这个基本代码下逐步增加注册、登录、信息的功能。 下面,我们将在注册、登录、信息的注释底下添加实现的代码。 注册、登录接口、其它资源不需要认证,信息接口需要认证。 前端获取到token之后,可…
    • 3838
    • 11
    Node.js的Koa实现JWT用户认证
  • duan777
    7月前
    Node.js
    JSON WEB TOKEN(JWT)
    JWT是toke的一种形式。主要由header(头部)、payload(载荷)、signature(签名)这三部分字符串组成,这三部分使用"."进行连接,完整的一条JWT值为${header}.${payload}.${signature},例如下面使用"."进行连接的字符串:…
    • 378
    • 2
  • smallishjoker
    5月前
    Node.js
    node + express 实现简单token验证
    安装 jsonwebtoken npm install jsonwebtoken --save 添加 token.js 生成和验证 token 在 app.js 中添加配置 登录后设置token值
    • 136
    • 评论
    node + express 实现简单token验证
  • 西门阿浪
    4月前
    Java 后端
    JWT(auth0):RS256非对称加密算法实现Token的签发、验证
    JWT结构分析,auth0源码解读,accessToken与refreshToken的活跃用户设计。
    • 702
    • 1
    JWT(auth0):RS256非对称加密算法实现Token的签发、验证
  • Alone381
    3年前
    Node.js 前端
    前端的焦虑,你想过30岁以后的前端路怎么走吗?
    曾几何时,我总会很庆幸自己进了前端这个行业。因为在这个职业范畴里面,我如鱼得水,成长很快,成就感满满。然而,随着年龄和工龄的增长,渐渐发现自己的瓶颈越来越明显了,我感觉自己似乎碰到了前端的天花板。 1.从客观原因来看,前端相对于后端的入门门槛确实低了不少。公司对前端的需求量虽然…
    • 3.5w
    • 290
  • Shen
    3年前
    Vue.js JavaScript 前端
    通过一个案例理解 JWT
    JWT(json web token)是为了在网络应用环境之间传递声明而基于 json 的开放标准,JWT 的声明一般被采用在身份提供者和服务器提供者间传递被认证的身份信息,以便于从资源服务器获取资源。 JWT 一般用于用户登录上,身份认证在这种场景下,一旦用户登录完成,在接下…
    • 7123
    • 9
  • 码农小胖哥
    1年前
    Spring Boot 后端
    Spring Security 实战干货: 登录后返回 JWT Token
    1.前言欢迎阅读SpringSecurity实战干货系列文章,上一文我们实现了JWT工具。本篇我们将一起探讨如何将JWT与SpringSecurity结合起来,在认证成功后不再跳转到指定页面而是直接返
    • 1407
    • 评论
  • kenx
    3月前
    后端 敏捷开发
    个人博客开发之blog-api 项目整合JWT实现token登录认证
    现在前后端分离,基于session设计到跨越问题,而且session在多台服器之前同步问题,肯能会丢失,所以倾向于使用jwt作为token认证 json web token 导入java-jwt工具包
    • 350
    • 评论
  • 何甜甜在吗
    7月前
    Java
    JWT实现登陆认证及Token自动续期
    JWT保存在客户端,在分布式环境下不需要做额外工作。而session因为保存在服务端,分布式环境下需要实现多机数据共享 JWT的payload使用的是base64编码的,因此在JWT中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全 经过编码之后JWT将非…
    • 3204
    • 23
  • HenryLulu_几木
    11月前
    HTTP
    前端鉴权的兄弟们:cookie、session、token、jwt、单点登录
    我们知道,HTTP 是无状态的。也就是说,HTTP 请求方和响应方间无法维护状态,都是一次性的,它不知道前后的请求都发生了什么。 但有的场景下,我们需要维护状态。最典型的,一个用户登陆微博,发布、关注、评论,都应是在登录后的用户状态下的。 那解决办法是什么呢?::标记::。 这…
    • 1.4w
    • 46
  • 架构师修行之路
    10月前
    微服务
    更加优雅的Token认证方式JWT
    通过上一篇你大体已经了解session和cookie认证了,session认证需要服务端做大量的工作来保证session信息的一致性以及session的存储,所以现代的web应用在认证的解决方案上更倾向于客户端方向,cookie认证是基于客户端方式的,但是cookie缺点也很明…
    • 249
    • 评论
  • MacroZheng
    1年前
    Spring Boot
    仅需四步,整合SpringSecurity+JWT实现登录认证 !
    学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT来实现登录认证的,而mall-portal模块是使用的SpringSecurity基于Session的默认机制来实现登陆认证的。很多小伙伴都找不到mall-portal的登录接口…
    • 7309
    • 1
    仅需四步,整合SpringSecurity+JWT实现登录认证 !
  • 阿秋_在路上
    11月前
    全栈
    【全栈之旅】NodeJs登录流程以及Token身份验证
    完成对云服务器的初步了解,以及nginx的配置,以及MySQL安装,建表操作以及使用Node.js框架Koa进行简单的数据增删改查功能。 但是针对一个完善一点网站,还需要一个权限认证(登入,登出,注册,api的身份验证),接下来就是Node写的jwt(jsonwebtoken)…
    • 2069
    • 16
    【全栈之旅】NodeJs登录流程以及Token身份验证
  • Coderge99890
    4年前
    Node.js 前端
    Node.js+Restify+JWT 实现简单身份验证的 RESTful API
    用 Node.js 快速搭建 RESTful API 服务器,前后端完全分离,包含身份验证,基于文件的数据库无需繁琐配置。
    • 818
    • 1
    Node.js+Restify+JWT 实现简单身份验证的 RESTful API
  • yeyan1996
    1年前
    JavaScript
    字节跳动面试官:请你实现一个大文件上传和断点续传
    这段时间面试官都挺忙的,频频出现在博客文章标题,虽然我不是特别想蹭热度,但是实在想不到好的标题了-。-,蹭蹭就蹭蹭 :)
    • 17.6w
    • 477
  • 知识追寻者
    1年前
    后端
    springboot+jwt实现token登陆权限认证
    验证成功返回响应的资源给浏览器。否则异常处理
    • 66
    • 评论
    springboot+jwt实现token登陆权限认证
    • 关于作者
    获得点赞2
    文章被阅读310
    下载手机APP
    一个帮助开发者成长的社区
    相关文章
    JWT实现登陆认证及Token自动续期
    44
    23
    傻傻分不清之 Cookie、Session、Token、JWT
    1971
    136
    node实现基于token的身份验证
    78
    5
    Node.js 使用 express-jwt 解析 JWT
    16
    6
    Node.js的Koa实现JWT用户认证
    68
    11