Node.js 实战三:Token 认证、Session 管理与中间件设计实战

最新推荐文章于 2025-06-15 17:43:44 发布
原创 最新推荐文章于 2025-06-15 17:43:44 发布 · 908 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#node.js #前端

当你的接口开始需要「登录态」,你会遇到这些问题:

  • 登录后怎么保持用户状态?用 Cookie 还是 Token?

  • Token 要放哪?Header、Cookie、LocalStorage?

  • 如何处理鉴权失败、自动过期、权限控制?

  • 每个接口都手动判断用户?会不会太麻烦?

别急,这一篇,我们就来一次性讲清楚登录认证体系、Session 管理与中间件设计的完整套路

一、前端认证的两种主流方式

模式

技术关键词

适用场景

Session + Cookie

服务端记录状态,前端自动带 cookie

同源、传统 Web 网站

Token (JWT)

客户端存储 token,接口用 header 传

多端、前后端分离、跨域系统

区别:

项目

Cookie-Session

Token-JWT

状态存储

服务端

客户端

跨域

不方便

灵活支持

安全性

默认防重放

易泄漏(需搭配策略)

可扩展

支持撤销、手动失效

更适合无状态服务

我们推荐在中后台/多端系统中优先使用 Token 模式(JWT)

二、使用 JWT 实现登录认证

安装依赖:

npm i jsonwebtoken koa-jwt

生成 Token:

const jwt = require('jsonwebtoken');

const token = jwt.sign({ id: user.id }, 'secret-key', { expiresIn: '2h' });

验证 Token 中间件:

const jwtMiddleware = require('koa-jwt');

app.use(jwtMiddleware({ secret: 'secret-key' }).unless({
  path: [/^\/public/, /^\/login/], // 免鉴权路由
}));

token 应该放在 Authorization header 中:

Authorization: Bearer xxx.token.yyy

三、如何统一封装鉴权中间件?

你可以封装一个权限控制中间件,例如:

const auth = () => async (ctx, next) => {
  try {
    if (!ctx.state.user) ctx.throw(401, '未登录');
    await next();
  } catch (err) {
    ctx.status = err.status || 401;
    ctx.body = { error: '认证失败,请重新登录' };
  }
};

然后在受保护接口中使用:

router.get('/user/profile', auth(), async (ctx) => {
  ctx.body = { user: ctx.state.user };
});

四、权限控制的“粒度”该怎么设计?

  • 用户登录 ≠ 拥有操作权限

  • 推荐添加角色字段 / 权限字段:

const user = { id: 1, role: 'admin', permissions: ['read', 'edit'] };

  • 可封装权限判断器:

const permit = (permission) => async (ctx, next) => {
  const perms = ctx.state.user?.permissions || [];
  if (!perms.includes(permission)) ctx.throw(403, '无操作权限');
  await next();
};

五、Token 失效、续期、登出如何处理?

问题

解决方式

Token 到期

expiresIn 控制过期时间

提前续期

后端提供 /refresh-token 接口

主动退出

客户端删除 token

后台踢人

维护黑名单机制或使用 Redis session 状态控制

如果对安全性要求高,建议使用:

  • 短效 Access Token + 长效 Refresh Token

  • Refresh Token 存储在 Cookie 中,Access Token 用于接口调用

六、是否应该将 Token 放在 Cookie?

可以(尤其是搭配 HttpOnly + Secure)

注意设置跨域 SameSite=None; Secure 属性,否则可能无法带上 Cookie

小结:

位置

安全性

灵活性

LocalStorage

简单但易被 XSS 攻击

Cookie(HttpOnly)

较安全(防 XSS)

配置复杂

七、中间件的“组合拳”:验证、解析、权限、异常

构建完整认证体系的中间件链:

app.use(errorHandler());        // 全局错误捕获
app.use(jwtValidator());        // 鉴权处理
app.use(requestLogger());       // 日志记录
app.use(ctxUserExtractor());    // ctx.state.user 注入

中间件就是你的“安全战队”,合理组合能让你少写一堆 if。

总结:认证不是登录按钮,它是一套系统

你要解决的不只是“谁登录了”,而是:

  • 登录了谁?能干啥?能干多久?出了问题怎么办?

  • 是否可以安全、统一、可维护地进行用户身份验证?

Token 模式 + 中间件体系 + 合理封装,

是你走出“demo 项目”迈向“稳定系统”的关键一步。

Node.js WebRTC:实时视频通信后端实现
AI架构全栈开发实战笔记
08-30 844
实时通信架构 | WebRTC协议栈 | Node.js媒体服务器 | 信令机制 | 媒体流处理 | 网络穿透(NAT) | 实时视频优化本技术分析深入探讨了基于Node.js构建WebRTC后端系统的完整技术栈,从理论基础到生产级实现。通过第一性原理分析实时通信的本质挑战,系统阐述了WebRTC协议架构Node.js异步I/O模型的协同优势。文中提供了模块化后端架构设计,包括信令服务器、媒体服务器、网络穿透服务和媒体处理管道的完整实现方案。针对企业级应用场景,详细讨论了可扩展性设计、质量监控、安全机制和
Node.js特训专栏-实战进阶:17.会话管理安全存储
最新发布
爱分享的程序员
07-19 398
会话是指用户Web应用之间持续的交互过程。由于HTTP协议是无状态的(每次请求独立,服务器不主动保留客户端信息),应用需要通过会话机制识别同一用户的连续请求。用户登录后,服务器生成唯一的会话标识(如Session ID);客户端后续请求携带该标识,服务器通过标识识别用户身份;用户退出或会话超时后,服务器销毁会话信息。优先使用HttpOnly Cookie存储会话标识:防止XSS攻击窃取;强制启用HTTPS:加密所有会话相关通信,防止网络嗅探;会话标识定期刷新。
node-authentication:NodeJS认证中间件
06-26
节点认证 NodeJS认证中间件 版本:1.0.0 安装 npm install 发展 运行应用服务器并开始开发 npm run start 执照 在下。
nodejs学习八:中间件
mosowe
02-17 257
中间件 基本语法: function (req,res,next) => { if (...) { //... res.json({ ... message: '缺少必要的参数' }) } else { next() } } req: 传入参数; res: 返回参数; next: ...
Node.js 中的 Token 认证机制详解
x15514104477的博客
06-15 981
本文详细介绍了Node.js中的Token认证机制实现方案。通过这套方案,开发者可以在Node.js应用中构建安全高效的Token认证系统。
nodejs token验证登录状态中间件 jwt-simple 包使用详解
飞鱼日记的博客
08-09 1947
一、简介 JWT(JSON Web Token) 编码解码模块 二、使用 安装 npm install --save jwt-simple 生成token & 解析token const tokenExpiresTime = 1000 * 60 * 60 * 24 * 7 //秘钥 const jstSecret = 'jstSecret' //需要加密的对象 const payload = { user:'wang', environment:'web', expir
nodejs定义token中间件
weixin_45932157的博客
07-17 326
nodejs定义中间件
构建Node.js后端应用:REST API、JWT认证MongoDB集成
Passport.js通常session结合使用,以维持用户的登录状态,但也可以实现无状态认证,比如使用JWT。在本项目中,Passport.js被用于实现用户的JWT身份验证。 ### JWT(JSON Web Tokens) JWT是一种用于双方之间传递...
Node.js后端开发:用户验证数据库交互技术
后端将会验证用户提供的凭证是否数据库中存储的信息匹配,如果验证成功,则会允许用户登录,并可能生成一个会话(Session)或令牌(Token)以标识用户身份。 3. 其他路由:除了上述两个核心路由外,项目中还可能...
Nodejs项目中使用token验证,jwt,jsonwebtoken
知无涯
11-09 1万+
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析. 抽空研究了一下nodejs的jwt如何做,下面来记录一下 使用的包是 "jsonwebtoken": "^8.3.0" 包的github地址 主要用到的方法是 生成token jwt.sign() 验证token jwt.verify() ...
NodeJs使用jsonwebtoken时,token验证及捕获错误中间件
焦虑的博客
12-16 1324
let tokenYZ = async (req, res, next) => { const token = String(req.headers.authorization || " ").split(' ').pop() if (!token) { res.status(401).send("token不能为空") return } let con = jwt.verify(toke.
nodejs express-jwt解析
热门推荐
BigManing的博客
08-04 1万+
作用是什么express-jwt是nodejs的一个中间件,他来验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router。 此模块允许您使用Node.js应用程序中的JWT令牌来验证HTTP请求。 JWT通常用于保护API端点。express-jwt和jsonwebtoken是什么关系express-
网络传入安全jwts
weixin_30481087的博客
03-19 530
使用json web token 发表于Aug 13 2014 由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是越来越喜欢干净整洁的web层,之前用jsf开发做view层的时候,用的primefaces做的界面显示,虽然prim...
NodeJStoken生成认证
hsg_happyLearning的博客
02-25 1564
导入依赖 koa、koa-router、basic-auth、jsonwebtoken // package.json "dependencies": { "basic-auth": "^2.0.1", "jsonwebtoken": "^8.4.0", "koa": "^2.7.0", "koa-router": "^7.4.0" } 生成token...
nodejs中间件
weixin_49070186的博客
01-15 1071
内置中间件 express中内置的中间件 - 中间件本质是一个函数 json json是处理json请求的,获取参数 req.body app.use(express.json()) 测试json是否成功的步骤 1. 在postman发起请求 2. post请求,需要设置请求头,参数如果是json对象就选择body -json属性是双引号 3. 设置请求头 application/json 4. 在body请求体中设置传递的参数 raw 格式 urlencoded urlencod
Node登录权限验证token验证实现
u010180452的博客
06-28 6712
Node登录权限验证token验证的原理和实现 1. token的使用场景 无状态请求 保持用户的登录状态 第方登录(token+auth2.0) 2. 基于token验证原理 后端不再存储认证信息,而是在用户登录的时候生成一个token,然后返回给前端前端进行存储,在需要进行验证的时候将token一并发送到后端,后端进行验证 加密的方式:对称加密和非对称加密,对称加密指的是加密解密使用...
公司子系统整合统一登录的架构
itbigboy的博客
12-27 1万+
如下图是公司的统一登录界面: 众多子系统的登录页面不再使用,所有登录走统一登录页面,登录时选择你要登录的系统,这里以我改造的安全管理系统为例。 在安全管理系统项目中加入一个整合的jar包,其实就是一个拦截器,拦截所有请求,看请求中是否有携带登录标识(此标识是包含统一登录端生成的一个唯一ID),如果没有在,则从定向到统一登录的页面。 然后在子系统的web.xml中配置这个拦截器生效。 之......
NodeJS 实现基于 token认证应用
韩吉鑫的博客
07-24 2047
NodeJS 实现基于 token认证应用 此段摘自 http://zhuanlan.zhihu.com/FrontendMagazine/19920223 英文原文 http://code.tutsplus.com/tutorials/token-based-authentication-with-angularjs-nodejs–cms-22543 在讨论了关于基于 toke...
我的NodeJS学习之路7(权限认证
刘泽美的博客
02-07 2301
本文来介绍系统中用到的权限认证的知识。 首先简单介绍一下passportjs。 Passport做登录验证具有:灵活性、模块化、丰富的中间件等特点,更加详细的介绍请参考:http://idlelife.org/archives/808 如何在项目中使用passport? 注意:关于passport的配置信息要放置在app.js所有的路由请求上面,这样才能对所有的路由进行过滤。 1. 安装集成 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值