NodeJs学习日志(7):JWT学习

原创 已于 2025-11-19 20:56:00 修改 · 345 阅读 · 4 ·
CC 4.0 BY-SA版权
宝贝,copy之前先说谢谢哦~
文章标签:

#学习

于 2025-11-18 22:06:37 首次发布

NodeJs学习日志(7):JWT学习

八股文

什么是JWT?

JWT(JSON Web Token)是一种 基于 JSON 的开放标准(RFC 7519),用于在客户端和服务器之间安全地传递声明(Claims)。它本质上是一个经过加密签名的字符串,包含了用户身份信息和其他元数据,服务器无需存储会话状态,仅通过验证 Token 的有效性即可完成身份认证。

JWT 的结构(三段式)

一个完整的 JWT 由 Header(头部)、Payload(载荷)、Signature(签名) 三部分组成,用 . 分隔,格式如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwidXNlcklkIjoiMTIzNDU2IiwiaWF0IjoxNzM0NTYwMDYxLCJleHAiOjE3MzQ1NjM2NjF9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  1. Header(头部)
    指定算法和令牌类型,默认使用 Base64 编码(可逆)
{
  "alg": "HS256", // 加密算法(如 HS256、RS256)
  "typ": "JWT"    // 令牌类型
}

  1. Payload(载荷)
    存储核心数据(用户信息、过期时间等),同样使用 Base64 编码(注意:Base64 是编码不是加密,不要存储敏感信息!)
    内置的标准声明(可选):​
    iat:令牌签发时间(时间戳)​
    exp:令牌过期时间(时间戳)​
    sub:令牌主题(通常是用户 ID)​
    自定义声明:如 username、userId 等业务字段

  2. Signature(签名)
    由 Header + Payload + 密钥(Secret Key)通过指定算法加密生成,用于验证令牌的完整性和真实性。

JWT 的核心功能

  1. 无状态身份认证​
    服务器无需存储用户会话信息,仅通过验证 Token 签名即可确认用户身份,降低了服务器存储压力,尤其适合分布式系统和微服务。​
  2. 跨域认证​
    Token 是自包含的,可通过 HTTP 请求头(如 Authorization: Bearer )传递,轻松支持跨域场景(如前端部署在 xxx.com,后端部署在 api.xxx.com)。​
  3. 数据传输​
    Payload 可携带非敏感业务数据(如用户昵称、角色),减少后端查询数据库的次数,提升接口性能。​
  4. 令牌刷新​
    支持在 Token 过期前或过期后,通过旧 Token 生成新 Token(需保证旧 Token 未被篡改),避免用户频繁登录。

使用

安装

npm install jsonwebtoken

代码

const jwt = require('jsonwebtoken');

// 生成强密钥(生产环境应从环境变量读取)
const generateSecretKey = () => {
  return crypto.randomBytes(64).toString('hex');
};

console.log("生成密钥:", generateSecretKey());

//jwt配置,
const JWT_OPTIONS = {
    SECRET_KEY: "secret-key", // 密钥
    EXPIRES_IN: '1h',//过期时间
    ALGORITHM: 'HS256' // 加密方式
};

//等待加密的载荷
const payload = {
    username: "admin",
    userId: "123456"
}

// 生成JWT
function generateToken(payload) {
    const token = jwt.sign(payload, JWT_OPTIONS.SECRET_KEY, {
        expiresIn: JWT_OPTIONS.EXPIRES_IN,
        algorithm: JWT_OPTIONS.ALGORITHM
    });
    return token;
}

let token = generateToken(payload);
console.log("生成的Token:", token);

// 验证JWT
function verifyToken(token) {
    try {
        const decoded = jwt.verify(token, JWT_OPTIONS.SECRET_KEY, {
            algorithms: [JWT_OPTIONS.ALGORITHM]
        });
        console.log("Token验证成功:", decoded);
        return { valid: true, decoded };
    } catch (error) {
        if (error.name === 'TokenExpiredError') {
            console.log("Token已过期:", error.expiredAt);
            return { valid: false, error: 'TOKEN_EXPIRED' };
        } else if (error.name === 'JsonWebTokenError') {
            console.log("Token无效:", error.message);
            return { valid: false, error: 'INVALID_TOKEN' };
        } else {
            console.log("Token验证失败:", error.message);
            return { valid: false, error: 'VERIFICATION_FAILED' };
        }
    }
}


verifyToken(token);

// 刷新JWT
function refreshToken(token) {
    const verificationResult = verifyToken(token);

    if (!verificationResult.valid && verificationResult.error !== 'TOKEN_EXPIRED') {
        throw new Error('无法刷新无效的Token');
    }

    // 即使token过期,我们也尝试解码获取payload(不验证过期)
    const decoded = jwt.decode(token);
    if (!decoded) {
        throw new Error('无法解码Token');
    }

    // 移除原有的过期时间和其他jwt属性,保留原始数据
    const { iat, exp, ...payload } = decoded;
    console.log("decoded" + JSON.stringify(decoded));
    const { username, userId } = decoded;
    console.log("username" + username);
    console.log("userId" + userId); 
    const newToken = generateToken(payload);
    console.log("刷新的Token:", newToken);
    return newToken;
}

refreshToken(token);
三、用nodejs实现JWT鉴权
Wang3317866410的博客
05-04 669
ps:若有不理解的看我写的nodejs连数据库的,前面的代码放到那里了登录验证成功后,后端给了个tocken,然后把tocken放到里面。
NodeJs学习日志(1):windows安装使用node.js 安装express,suquelize,sqlite,nodemon
学不会shader
08-06 770
windows安装使用node.js 安装express,suquelize,sqlite,nodemon
NodeJs学习日志(5):工具代码
学不会shader
08-26 481
本文整理了一套 Node.js 实用工具函数,围绕文件上传场景构建完整功能模块。包含 nameEncoder.js 解决文件名编码问题,避免中文乱码;randomUtils.js 生成各类随机字符串,满足多种场景需求;response.js 统一接口响应格式,支持多种错误处理与扩展;validationUtils.js 封装参数与文件验证逻辑。通过头像上传接口示例展示工具整合应用,介绍了所需依赖包及安装。
nodejs学习内容
weixin_41978174的博客
07-19 918
什么是Node.js?
nodejs+vue考研学习分享交流平台 q7g4
QQ188083800的博客
05-15 706
本系统在功能上,不仅仅有传统的文件收发、审核,更利用计算机的强大功能进行统计、汇总、分析,方便管理者对比赛开展情况进行了解,不仅方便文件收集审核工作,也方便用户的使用,节约人力物力,提高效率。本课题研究,前端使用 vue 框架,后端使用node、mysql链接数据库完成前端与后端开发。后端使用nodejs来搭建服务器前端:Vue和ElementUI数据库:mysql数据库工具:Navicat/SQLyog都可以开发运行软件:VScode/webstorm/hbuiderx均可。
Node.js学习笔记
gl199555的博客
12-28 2633
基于nodejs学习笔记
nodejs jwt java_NodeJs使用jwt生成token以及使用express-jwt校验和解密token
weixin_30744613的博客
02-27 911
/注:校验token,获取headers⾥里里的Authorization的token方法,要写在路由加载之前,静态资源之后app.use(expressJWT({secret: PRIVATE_KEY}).unless({path: ['/api/user/register','/api/user/login'] //⽩白名单,除了了这⾥里里写的地址,其他的URL都需要验证}));一、生成tok...
基于vue+nodejs的考研学习交流系统
QQ_188083800的博客
03-23 669
本课题研究,前端使用 vue 框架,后端使用node、mysql链接数据库完成前端与后端开发。后端使用nodejs来搭建服务器前端:Vue和ElementUI数据库:mysql数据库工具:Navicat/SQLyog都可以开发运行软件:VScode/webstorm/hbuiderx均可1.Vue.js,采用MVVM模式的渐进式JavaScript框架,它提供了一种简洁、灵活的方式来构建顾客界面。
Nodejs + Expressjs+ JWTJWT使用
热门推荐
HiterCoder
11-29 1万+
为什么要用研究JWT呢,一次关于用户token传递到讨论中,研发部的同事提到 SpringCloud 的zuul网关中引入 JWT,底层服务进行无状态处理,来实现我们之前关于token 传递的技术需求。 JWT(JSON Web Token),字面意思很好理解,就是Web的JSON令牌。一种通过Web可以安全传递JSON格式信息的机制。优势体量小,防串改,数据相对安全。可以用于客户端到服务器端重
NodeJs_Auth:基于JWT和MongoDB的用户认证解决方案
最后,开发人员还需要考虑到错误处理和日志记录等方面,确保系统能够有效地报告和处理异常情况,例如非法请求或数据库故障等。总之,使用Node.js、Express、JWT和MongoDB构建用户身份验证系统,能够创建出既安全又...
NodeJs构建REST API: MongoDB与JWT身份验证授权实现
通过本项目,开发人员可以学习到如何运用Node.js、MongoDB、JWT等技术构建一个安全、功能完备的REST API,这些技能对现代Web开发尤其重要,对于希望进入全栈开发或者从事后端开发的程序员来说,这个项目是一个很好的...
NodeJS认证中间件实战:快速搭建与应用
7. **JWT (JSON Web Tokens)**: JWT是一个用于双方之间安全传输信息的简洁的、URL安全的表示方法。它常用于身份验证和信息交换,特别是在Web应用中。 8. **执照**: 软件执照是描述软件使用权限和限制的法律文档。...
NodeJS学习入门:掌握TypeScript基础
总结来说,通过学习“iniciando-backend:学习NodeJS”这个教程,开发者将会了解到后端开发的基础知识,掌握NodeJS的使用方法,学习TypeScript编程语言,并且可能通过一个完整的项目实践,来加深对整个后端开发流程...
运放学习笔记
最新发布
Z97371539的博客
12-13 451
单电源运放是指仅使用单一电源电压(例如,+5V)和地(0V)作为电源供给的运放。也就是说,它只需要一个正电压和地作为参考电压,而不需要负电压。
学习离线处理 [CSP-J 2022 山东] 部署
SHOJYS的博客
12-09 761
所谓离线, 就是等你操作完了后再问你问题, 每一次操作时间复杂度可能很大, 我们可以把操作堆起来最后一遍完成.我们记录完之后, 就是要统计答案了. 我们不妨先思考操作二该怎么统计., 而对于其子节点和祖先而言, 兵力都要增加。我们不妨记录两个内容, 一个是操作一在节点。最后展示总代码, 当然肯定与上述有部分出入.. 但问题来了, 它的子树都要增加。要求增加的兵, 不妨将其设为。要求增加的兵, 不妨将其设为。我们再思考操作一该怎么统计.而言, 其增加的兵力就是。而言, 其兵力增加就是。我们首先记录所有操作,
学习笔记095——Ubuntu 安装 lrzsz 服务?
code__bee的博客
12-10 397
lrzsz是一款基于协议的文件传输工具集,专门用于在终端环境下实现本地与远程服务器之间的文件上传和下载,是 Linux/Unix 运维和开发场景中常用的轻量级工具。
Kamailio的学习
2301_79965178的博客
12-12 588
摘要:本文详细介绍了Kamailio SIP服务器的架构与配置。Kamailio是一款支持高并发、多协议的高性能SIP服务器,采用模块化设计,包含150多个功能模块。文章从配置文件结构(全局参数、模块设置、路由区块)入手,深入解析其多进程模型、Epoll多路复用机制、共享内存和锁定系统等底层实现。重点阐述了Kamailio处理SIP消息的完整流程,包括请求/响应处理、进程间通信等核心机制,并展示了通过kamcmd命令查看进程状态的实践示例。
Spring整合MyBatis-Pluss 部分课堂学习笔记
2301_81440348的博客
12-09 950
这种写法是MyBatis-Plus 简化 Service 层开发的标准用法继承→ 自动获得通用 CRUD 实现;实现自定义Service接口 → 规范业务方法,支持自定义逻辑。@Autowired的核心是“自动装配”,让 Spring 帮你管理对象的依赖关系,不用手动 new 对象,是 Spring 实现 “解耦” 和 “控制反转(IOC)” 的关键注解之一。Mapper不也是接口,不是说接口不能注册为bean你这个问题问到了核心!BookMapper确实是接口,但它能被@Autowired。
Exhibit 英文单词学习
qq_36812406的博客
12-10 1036
exhibit(动词):展示、表现、显示→ 可指“物理展示”→ 也可指“抽象性质的表现”(SLAM 中常用)exhibit(名词):展品、展示物关键特征常用于描述系统或算法的“表现/性质/特征”在技术写作中非常常见比 show/display 更正式、更科学。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值