介绍
JSON Web Token (JWT)是一种用于声明对某个服务的认证信息的开放标准。在前端开发中,我们经常需要验证用户的身份,并授予特定的访问权限。JWT可以通过在请求中携带认证信息来实现身份验证,从而实现安全的访问控制,减少对服务器的频繁查询,提高系统的性能和可靠性。
在这篇文章中,我们将会学习如何在 Express.js 中使用 JWT 进行身份验证。我们将介绍 JWT 的概念,讨论如何在Node.js中使用 JSON Web Token 创建和验证令牌,并提供一个详细的示例代码。
JWT 概览
JSON Web Token (JWT)由三部分组成:
- Header(头):包含令牌类型和使用的加密算法
- Payload(载荷):包含关键信息,包括用户 ID、访问权限等
- Signature(签名):用于保证令牌的完整性和身份验证
在创建JWT令牌时,使用 HMAC SHA256 或RSA签名算法将 Header、Payload和密钥连接起来,并生成Signature。然后将三部分组成的JWT令牌返回给客户端,客户端可以使用JWT进行身份验证,并在请求中携带JWT令牌访问API。
使用 Node.js JSON Web Token 库
Node.js 的 JSON Web Token 库包含了创建、验证JWT令牌的函数。我们可以从 Node.js 的官方网站上找到 jsonwebtoken 库,并通过 npm 安装。
$ npm install jsonwebtoken
然后,在你的代码中导入 jsonwebtoken 库
const jwt = require('jsonwebtoken');创建 JWT 令牌
使用 jsonwebtoken 库,可以通过提供一个包含 Payload 信息和密钥的对象来创建JWT令牌。以下是一个基本的 JWT 创建示例:
const token = jwt.sign({ user: ‘小明’, role: ‘admin’ },
‘my_secret_key’);在这里,我们提供一个对象作为第一个参数。这个对象包含有用的信息,例如用户ID、角色和访问权限。我们还提供了一个密钥(my_secret_key),用于生成JWT令牌的签名,并且此密钥也将用于稍后验证JWT令牌的完整性。
验证 JWT 令牌
我们可以使用 jwt.verify() 方法来验证JWT令牌是否有效。以下是一个基本的示例:
const token = req.headers.authorization.split(‘ ')[1];
jwt.verify(token, ‘my_secret_key’, function(error, decoded) {
if (error) return res.status(401).json({ error: 'Token无效' });
req.decoded = decoded;
next();
});在这里,我们从请求头中提取JWT令牌,并使用 jwt.verify() 方法来验证令牌。如果JWT令牌无效,则返回401 HTTP响应,并提供错误信息。如果JWT令牌是有效的,则通过将编码信息存储在 req.decoded 中并调用 next() 来继续处理请求。
Express.js 中的完整示例代码:
-- -------------------- ---- -------
----- ------- - -------------------
----- --- - ------------------------
----- --- - ----------
--------------- ----- ---- -- -
----------
-------- ---------
---
---
---------------------- ------------ ----- ---- -- -
--------------------- ---------------- ----- --------- -- -
-- ----- -
--------------------
- ---- -
----------
-------- --------------
--------
---
-
---
---
---------------------- ----- ---- -- -
----- ---- - -
--- --
--------- ----- -----
------ -------------------
--
--------------- ------ ---------------- ----- ------ -- -
----------
------ -----
---
---
---
-------- ---------------- ---- ----- -
----- ------------ - -----------------------------
-- ------- ------------ --- ------------ -
----- ----------- - -------------------- ------
--------- - ------------
-------
- ---- -
--------------------
-
-
---------------- -- -- -
------------------- -- ------- -- ---- -------
---在这个示例中,我们创建了三个API路由:
- GET /api:此路由仅返回一个简单的消息,这是公共API。
- POST /api/posts:此路由是受保护的API,因为它需要JWT令牌来验证用户的身份才能访问。
- POST /api/login:此路由用于验证用户的身份并创建JWT。 在此示例中,我们使用 jwt.sign() 方法将用户编码信息与密钥一起提供,然后将用户JWT令牌返回给客户端。
我们还创建了一个中间件 verifyToken() 来验证JWT令牌。该中间件从请求头中提取JWT令牌,使用 jwt.verify() 方法验证令牌的完整性和身份验证,并在所有其他API请求处理之前将其存储在 req.token 中。
结论
在本文中,我们学习了如何在 Express.js 中使用 JWT 进行身份验证。我们讨论了 JWT 的概念,介绍了如何使用 jsonwebtoken 库创建和验证JWT令牌,并提供了一个完整的示例代码,以帮助您更好地理解如何在Express.js项目中使用JSON Web Tokens进行身份验证。现在,您可以在自己的项目中使用JWT来实现更安全的API访问控制。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/66f4d6e1c5c563ced565d60c