Express.js 中如何使用 JWT 认证与授权-JavaScript中文网-JavaScript教程资源分享门户

介绍

在 Web 应用程序中，用户认证和授权是非常重要的功能。JSON Web Token（JWT）是一种流行的认证和授权方法，它使用 JSON 对象作为安全令牌来传输信息。Express.js 是一个非常流行的 Node.js Web 框架，它提供了许多工具和库来处理 Web 应用程序的各种需求，包括 JWT 认证和授权。

本文将介绍如何在 Express.js 中使用 JWT 进行认证和授权。我们将讨论 JWT 的基本概念，如何生成和验证 JWT，以及如何在 Express.js 应用程序中使用 JWT 进行认证和授权。

JWT 基础知识

JWT 是一种安全令牌，它由三部分组成：头部、载荷和签名。头部包含令牌的类型和算法，载荷包含令牌的内容，签名用于验证令牌的完整性。

头部和载荷都是 JSON 对象，它们被 Base64 编码并由句点分隔。签名由头部、载荷和密钥组成，它使用指定的算法对头部和载荷进行签名，生成一段字符串。在验证 JWT 时，我们可以使用相同的密钥和算法来生成签名，并比较生成的签名与令牌中的签名是否相同。

JWT 的一个重要特性是它是无状态的，即服务器不需要在数据库中存储令牌的信息。这使得 JWT 在分布式系统中非常有用，因为它可以避免对数据库的频繁访问。

生成 JWT

在 Express.js 中生成 JWT 非常简单，我们可以使用 jsonwebtoken 库来完成。以下是一个示例代码：

const jwt = require('jsonwebtoken');

const payload = { username: 'user123' };
const secret = 'mysecretkey';
const options = { expiresIn: '1h' };

const token = jwt.sign(payload, secret, options);
console.log(token);

在这个示例中，我们使用 jwt.sign() 方法生成 JWT。payload 参数是一个包含我们想要传输的数据的 JSON 对象，secret 参数是一个密钥字符串，用于生成签名。options 参数是一个包含选项的对象，例如过期时间等。

生成的 JWT 将作为一个字符串输出到控制台。

验证 JWT

在 Express.js 中验证 JWT 也很简单，我们可以使用 jsonwebtoken 库来完成。以下是一个示例代码：

-- -------------------- ---- -------
----- --- - ------------------------

----- ----- - ---------------------------------------------------------------------------------------------------------------------------------------------------------------
----- ------ - --------------

----------------- ------- ----- -------- -- -
  -- ----- -
    -------------------- --------
  - ---- -
    ---------------------
  -
---

在这个示例中，我们使用 jwt.verify() 方法验证 JWT。token 参数是一个包含 JWT 的字符串，secret 参数是一个密钥字符串，用于验证签名。

如果 JWT 验证成功，decoded 参数将包含解码后的数据，例如用户信息等。

在 Express.js 中使用 JWT

现在我们已经知道如何生成和验证 JWT，我们可以在 Express.js 应用程序中使用 JWT 进行认证和授权。以下是一个示例代码：

-- -------------------- ---- -------
----- ------- - -------------------
----- --- - ------------------------

----- --- - ----------
----- ------ - --------------

------------------ ----- ---- -- -
  ----- - --------- -------- - - ---------

  -- ----- -- -------- --- -------- --- -------
  -- --------- --- --------- -- -------- --- -------------- -
    ----- ------- - - -------- --
    ----- ------- - - ---------- ---- --
    ----- ----- - ----------------- ------- ---------

    ---------- ----- ---
  - ---- -
    ---------------------- -------- -------- ------------ ---
  -
---

--------------------- ----- ---- -- -
  ----- ----- - --------------------------------- ------

  ----------------- ------- ----- -------- -- -
    -- ----- -
      ---------------------- -------- -------- ------ ---
    - ---- -
      ---------- -------- ---------- --------- ----- ---------------- ---
    -
  ---
---

---------------- -- -- -
  ------------------- -- ------- -- ---- -------
---

在这个示例中，我们创建了两个路由，一个用于登录并生成 JWT，一个用于访问受保护的内容。

在登录路由中，我们检查用户名和密码是否正确。如果正确，我们生成 JWT 并将其作为响应的 JSON 对象返回。如果不正确，我们返回一个 401 错误。

在受保护的路由中，我们从请求头中获取 JWT，并使用 jwt.verify() 方法验证它。如果验证成功，我们返回受保护的内容和用户信息。如果不成功，我们返回一个 401 错误。

结论

在本文中，我们介绍了如何在 Express.js 中使用 JWT 进行认证和授权。我们讨论了 JWT 的基本概念，如何生成和验证 JWT，以及如何在 Express.js 应用程序中使用 JWT 进行认证和授权。我们还提供了示例代码，以帮助您更好地理解如何实现 JWT 认证和授权。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/675fc22903c3aa6a56f89000