node.js express JWT token生成与校验

  • 开发
  • 28

目录

JWT

header(标头)

payload(有效负载)

signature(签名)

访问令牌(token)

express jwt生成、验证

生成jwt

验证jwt

JWT

JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。

生成验证流程

用户账号密码注册或登录,服务端用HMACSHA256根据secret和base64Url编码后的headerpayload进行加密生成signature,然后将base64Url编码后的headerpayload以及signature通过“.”相连接,最终形式xxxx.yyyy.zzzz(token),之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。

header(标头)

生成token的头信息,通常由两部分组成,包含令牌类型alg和所使用的签名算法typ

{
    "alg":"HS256",
    "typ":"JWT"
}

payload(有效负载)

通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp

{
  "id": "655c78ccd9107661e41abd9f",
  "iat": 1702260106,
  "exp": 1710036106
}

signature(签名)

HMAC-SHA256(Hash Message Authentication Code-Secure Hash Algorithm 256 bit)是一种加密算法,是SHA-256散列函数与一个密钥结合的身份验证方法。HMAC的安全性基于散列函数(SHA-256),而且可以通过密钥的添加来增加信任度。此算法经常用于网络领域中,例如 HTTPS、SSL、SSH 等加密通讯领域。

生成signature:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), secret
)

访问令牌(token)

base64UrlEncode(header) + '.' + base64UrlEncode(payload) + '.' + signature

举例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjY1NWM3OGNjZDkxMDc2NjFlNDFhYmQ5ZiIsImlhdCI6MTcwMjI2MDEwNiwiZXhwIjoxNzEwMDM2MTA2fQ.ca-J91WaThntP3IhMBQNps9MVqts8oi_f62KcV2r4D8

express jwt生成、验证

1、安装jsonwebtoken依赖,npm install jsonwebtoken --save

2、在代码controller层引入依赖,在登录、注册的时候生成token

//环境变量,通过安装dotenv依赖,在express入口文件中加载,
这么做的目的是不让密钥等敏感信息硬编码在代码中


JWT_SECRET=this-is-my-secret-password
JWT_EXPIRES_IN=90d

生成jwt

// authController.js 用户的登录、注册、密码修改、token生成、权限校验、凭证认证等
const jwt = require('jsonwebtoken');

const signToken = id => {
  return jwt.sign({ id }, process.env.JWT_SECRET, {
    expiresIn: process.env.JWT_EXPIRES_IN
  });
};

验证jwt

promisify(jwt.verify)(token, process.env.JWT_SECRET);

const { promisify } = require('util'); 

// protect中间件, 用于验证用户
exports.protect = catchAsync(async (req, res, next) => {
  let token;
  if (
    req.headers.authorization &&
    req.headers.authorization.startsWith('Bearer')
  ) {
    token = req.headers.authorization.split(' ')[1];
  }

  if (!token) {
    return next(
      new AppError('您还还没有登录或注册', 401)
    );
  }

  // 2) 验证 token
  const decoded = await promisify(jwt.verify)(token, process.env.JWT_SECRET);
  
  // 验证jwt是否有效,decode信息是payload,其中包含用户生成jwt的id、iat、exp
  // 通过这个唯一id可以查询用户信息,如果promisify是rejected则进行错误处理逻辑
});

阅读全部

相关推荐

  3. C语言:生成校验

    2023-12-12 07:56:02       24 阅读

  4. SpringMVC校验注解不生效

    2023-12-12 07:56:02       34 阅读

  5. flask中生成token,校验token,token装饰器

    2023-12-12 07:56:02       39 阅读

  6. eazyexcel生成校验单元格内容的excel文件

    2023-12-12 07:56:02       10 阅读

  10. 【IP层的校验UDP的校验和】+【FPGA实现】

    2023-12-12 07:56:02       12 阅读

最近更新

  4. TCP协议是安全的吗?

    2023-12-12 07:56:02       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2023-12-12 07:56:02       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2023-12-12 07:56:02       18 阅读

  18. 通过文章id递归查询所有评论(xml)

    2023-12-12 07:56:02       20 阅读

热门阅读

  5. MATLAB中cell函数的用法

    2023-12-12 07:56:02       40 阅读

  6. pytorch环境配置

    2023-12-12 07:56:02       42 阅读

  7. [cleanrl] ppo_continuous_action源码解析

    2023-12-12 07:56:02       44 阅读

  11. Oracle 解决ORA-00257 Archiver error 报错

    2023-12-12 07:56:02       38 阅读

  17. 用PyTorch构建简单的卷积神经网络进行MNIST分类(Python)

    2023-12-12 07:56:02       42 阅读

  20. Quick Sort Algorithm

    2023-12-12 07:56:02       29 阅读

  26. 管理类联考——数学——真题篇——按知识分类——几何

    2023-12-12 07:56:02       38 阅读

  27. (C)一些题10

    2023-12-12 07:56:02       29 阅读