在现代 Web 开发中,身份认证是非常必要的。通过身份认证,我们能够保护用户的信息和数据,并确保只有授权的用户可以访问受保护的资源。在本文中,我们将介绍如何在 Express.js 中使用 JSON Web Token(JWT)进行身份认证。
什么是 JSON Web Token
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于以 JSON 格式安全地在各方之间传输信息。JWT 可用于身份认证和授权,以及数据传输时的信息交换。
JWT 由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷分别使用 Base64Url 编码,并通过点号(.
)分割。最后一部分是签名,它使用算法和密钥生成。因此,JWT 是由三个以点号分割的 Base64Url 编码字符串组成。
下面是一个 JWT 的示例:
------------------------------------- --------------------------------------------------------------------------- -------------------------------------------
头部:
- ------ -------- ------ ----- -
载荷:
- ------ ------------- ------- ----- ----- ------ ---------- -
签名:使用 HMAC SHA-256 算法和共享密钥生成的字符串。
在 Express.js 中使用 JWT
要在 Express.js 中使用 JWT 进行身份认证,我们需要遵循以下几个步骤:
安装依赖
首先,我们需要安装一些必要的依赖:
--- ------- ------ ------- ------------ -----------
其中,express
是我们的 Web 框架,jsonwebtoken
是用于生成和验证 JWT 的库,body-parser
是用于解析请求体的中间件。
创建路由
我们需要创建一个路由,这个路由可以是任何需要进行身份认证的路由,比如登录、修改密码、查看个人信息等。在路由中,我们需要做以下事情:
- 获取用户提交的凭据(比如用户名和密码)。
- 验证凭据是否正确。如果凭据正确,则生成一个 JWT。
- 将 JWT 发送回客户端。
以下是一个登录路由的示例代码:
----- ------- - ------------------- ----- --- - ------------------------ ----- ---------- - ----------------------- ----- --- - ---------- --------------------------- ------------------ ----- ---- -- - -- --------- ----- - --------- -------- - - --------- -- -------- -- --------- --- ------- -- -------- --- ----------- - -- -- --- ----- ----- - ---------- -------- -- ---------- -- - --- ------ ------ ---------- ----- --- - -- --------------- ------ ---------------------- -------- -------- ------------ --- --- ---------------- -- -- ------------------- ------- -- ---- --------
在这个路由中,我们使用 jwt.sign
方法生成 JWT,并将它发送回客户端。注意,我们将密钥设置为 'secret'
,实际上应该将其替换为一个随机的、安全的字符串。
验证 JWT
现在,我们已经可以生成 JWT 并将其发送回客户端了。接下来,我们需要编写一个函数来验证 JWT 是否有效,以确保用户已经通过了身份认证,并有权访问受保护的资源。
以下是一个示例代码:
----- ------- - ------------------- ----- --- - ------------------------ ----- ---------- - ----------------------- ----- --- - ---------- --------------------------- -- ------------------- ----- ---------- - ----------------- -- --------- --- ---- -------------------- ---- ----- -- - -- ------- --- ----- ----- - ---------------------------------- ------ -- -- --- ------- --- -- -- -------- - ------ ---------------------- -------- --------------- ------- --- - -- -- --- ---- --- - ----- ------- - ----------------- ---------- -------- - -------- ------- - ----- ------- - ------ ---------------------- -------- --------------- ------- --- - --- -- ------ ---------------------------- ----- ---- -- - ---------- -------- -------- ---------------------- --- --- -- ----------- ------------ ------------ ---------------- -- -- ------------------- ------- -- ---- --------
在这个示例中,我们使用 jwt.verify
方法来验证 JWT 是否有效。如果 JWT 有效,则将解码后的数据放入 req.user
对象中,然后调用 next
函数继续处理请求。如果 JWT 无效,则返回 401 错误。
完整示例代码
以下是一个完整的示例代码:
----- ------- - ------------------- ----- --- - ------------------------ ----- ---------- - ----------------------- ----- --- - ---------- --------------------------- -- ---- ------------------ ----- ---- -- - -- --------- ----- - --------- -------- - - --------- -- -------- -- --------- --- ------- -- -------- --- ----------- - -- -- --- ----- ----- - ---------- -------- -- ---------- -- - --- ------ ------ ---------- ----- --- - -- --------------- ------ ---------------------- -------- -------- ------------ --- --- -- ----- ----- -------------- - ----- ---- ----- -- - -- ------- --- ----- ----- - ---------------------------------- ------ -- -- --- ------- --- -- -- -------- - ------ ---------------------- -------- --------------- ------- --- - -- -- --- ---- --- - ----- ------- - ----------------- ---------- -------- - -------- ------- - ----- ------- - ------ ---------------------- -------- --------------- ------- --- - -- -- ------ --------------------- --------------- ----- ---- -- - ---------- -------- -------- ---------------------- --- --- ---------------- -- -- ------------------- ------- -- ---- --------
总结
在本文中,我们介绍了如何在 Express.js 中使用 JWT 进行身份认证。使用 JWT,我们可以解决传统的 Cookie/Session 身份认证方式所遇到的一些问题,例如跨域、扩展性和可伸缩性等。此外,JWT 还非常方便,可以轻松地序列化和传输数据。通过掌握本文中所介绍的知识,你将能够使用 JWT 来保护你的 Web 应用程序并提供更好的用户体验。
来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/65a0dcc0add4f0e0ff90e99f