【Express】JWT的基本介绍及使用

最新推荐文章于 2025-11-12 09:39:43 发布
原创 最新推荐文章于 2025-11-12 09:39:43 发布 · 969 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#express #node.js #javascript #前端

前言

关于express专栏的内容,我们之前未涉及一些高级用法/实用中间件,从“提升express技术”“完善专栏内容的完整度”考虑,近期会补充一些express高级用法/实用中间件的内容。

本篇文章先介绍JWT。

一、JWT简介

1、什么是JWT?

JSON Web Tokens(JWT)是一种开放标准(RFC 7519),用于在网络应用之间安全地传递信息。JWT 是一个紧凑的、独立的 JSON 对象,包含一个头部(Header)、一个载荷(Payload)和一个签名(Signature)。头部通常包含令牌的类型和签名算法;载荷包含声明(Claims),这些声明是关于实体(通常是用户)的声明;签名用于验证 JWT 的完整性和真实性。

2、JWT的优势

  • 无状态和可扩展性:JWT 是无状态的,服务器不需要存储会话信息,这使得 JWT 非常适合分布式系统和微服务架构。

  • 安全性和信任性:JWT 可以通过签名来验证数据的完整性和真实性,确保信息在传输过程中未被篡改。

  • 灵活性和自包含性:JWT 是自包含的,所有必要的信息都包含在令牌中,无需额外查询数据库。

3、JWT的常见用途

  • 身份验证:用户登录后,服务器生成一个 JWT 并返回给客户端。客户端在后续请求中携带这个 JWT,服务器通过验证 JWT 来确认用户身份。

  • 信息交换:JWT 可以安全地在各方之间传递信息,因为 JWT 是签名的,可以防止数据被篡改。

PS:身份验证是最为常用的,包括我在开发公司业务需求,有时候需要找后端拿cookie才能正常访问到测试数据。

二、在express中使用JWT

1、准备工作和安装必要的依赖

专栏的内容,我们基本上是用的express-generator进行创建express项目,这次也不例外。

如果还没安装,则执行语句

npm install -g express-generator

 新建文件夹,创建express项目和初始化

express jwt-example
npm install

 安装jsonwebtoken和其他必要的依赖

npm install jsonwebtoken express-body-parser

body-parser:一个中间件,用于解析 HTTP 请求体 

2、修改app.js

app.js 中引入 jsonwebtoken 并配置中间件:

const express = require('express');
const bodyParser = require('body-parser');
const jwt = require('jsonwebtoken');
const path = require('path');

const app = express();

// Middleware
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));

// Routes
const indexRouter = require('./routes/index');
const authRouter = require('./routes/auth');

app.use('/', indexRouter);
app.use('/auth', authRouter);

// Error handling
app.use((req, res, next) => {
  next(createError(404));
});

app.use((err, req, res, next) => {
  res.locals.message = err.message;
  res.locals.error = req.app.get('env') === 'development' ? err : {};
  res.status(err.status || 500);
  res.render('error');
});

module.exports = app;

3、创建routes/auth.js

routes 文件夹下创建 auth.js 文件,用于处理登录和生成 JWT:

const express = require('express');
const jwt = require('jsonwebtoken');

const router = express.Router();

//假设这是我们的用户名和密码
const users = [
  { id: 1, username: 'admin', password: 'password' }
];

// 登录路由
router.post('/login', (req, res) => {
  const { username, password } = req.body;
  const user = users.find(u => u.username === username && u.password === password);

  if (!user) {
    return res.status(401).json({ message: 'Invalid credentials' });
  }

//   这里假设我们的密钥为 'kainama'
  const token = jwt.sign({ userId: user.id, username: user.username }, 'kainama', { expiresIn: '1h' });
  res.json({ token });
});

// 验证 JWT 的中间件
const authenticateToken = (req, res, next) => {
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];

  if (!token) {
    return res.status(401).json({ message: 'Access denied' });
  }

  jwt.verify(token, 'kainama', (err, user) => {
    if (err) {
      return res.status(403).json({ message: 'Invalid token' });
    }
    req.user = user;
    next();
  });
};

// 受保护的路由
router.get('/protected', authenticateToken, (req, res) => {
  res.json({ message: 'Access granted', user: req.user });
});

module.exports = router;

4、测试JWT功能

 

启动项目  npm start

 这里使用apipost工具进行测试JWT功能。

新建post请求,如下所示:

点击发送,获得结果

 

 现在我们尝试拿token去访问“受保护”的请求

注意:

参数名为:Authorization

参数值为 Bearer token值(Bearer和token值中间有个空格

 只有正常携带验证,才能正常访问

比如我修改了手动修改了token的值,点击发送就会显示对应的错误信息

 

三、最佳实践

1、密钥管理

  • 使用环境变量或配置文件来管理 JWT 密钥,避免将密钥硬编码在代码中。

  • 定期更换密钥,以提高安全性。

2、Token过期时间

  • 设置合理的 Token 过期时间,避免 Token 被长期滥用。

  • 提供 Token 刷新机制,允许用户在 Token 过期后重新获取新的 Token。

四、小结

合理使用 JWT,可以实现高效、安全的用户身份验证和信息交换。本文介绍了 JWT 的基本概念、优势以及如何在 Express 应用中使用 JWT 进行身份验证。希望可以让大家更好地理解和使用JWT。

后续我们会更新express的更多高级用法/中间件。

如果你喜欢这篇文章,期待留下你的三连+关注~

 

 

JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWTJSON WEB TOKEN)详解
yjp1240201821的博客
08-24 3953
JWTJSON WEB TOKEN),本文主要详细讲解了jwt,从其定义、token的理解、结构、使用等等帮助深刻理解jwt
什么是 JWT?如何使用JWT进行用户身份验证?
最新发布
m0_63819687的博客
11-12 1425
JWTJSON Web Token)是一种用于身份验证和授权的轻量级令牌技术,采用"Header.Payload.Signature"三段式结构。它通过JSON格式编码用户信息,支持签名验证确保数据完整性,具有无状态、自包含、跨平台等优势。核心工作流程包括令牌签发、客户端存储、请求携带和服务器验证。JWT适用于前后端分离、微服务架构等场景,但需注意密钥安全、敏感信息保护和令牌有效期设置。在实际开发中,通常配合短期访问令牌和长期刷新令牌使用.
最佳jwt详细教程
MX_YANG_的博客
10-13 1266
先谈一谈为什么有Session认证机制还需要用到jwt认证机制。 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证 注意: 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制 前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制 jwt
JWT 简介
weixin_34194317的博客
05-03 257
本文翻译自JWT官方网站对JWT是什么以及能做什么的简介。 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的...
Express中的JWT使用
weixin_47295886的博客
09-14 5064
安装jwt相关的包两个:jsonwebtoken \ express-jwt 定义secret密钥 如何在登录成功后生成JWT字符串——生成Token 将JWT字符串还原成为JSON对象——解析Token 使用req.user(req.auth)获取用户信息——有权限的接口 捕获解析JWT(即解析token)失败后产生的错误——错误中间件在最后 进行捕获错误
node-auth-api:使用ExpressJWT构建的基本身份验证API
05-08
使用ExpressJWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
精选资源
express + jwt + postMan验证实现持久化登录
01-02
npm install express -s // 下载express npm install cors // 跨域中间件 npm install body-parser // body-parser中间件 解析带请求体的数据(post,put) npm install jsonwebtoken // 持久化登录 jwt json web token...
express-es6-jwt-mongoose:具有JWT,Passport和Mongoose的ES6 RESTful Express服务器的基本项目
02-04
具有JWT,Passport和Mongoose的ES6 RESTful Express服务器的基本项目。 开始吧 # clone it git clone git@github.com:emersonlaurentino/express-es6-jwt-mongoose.git cd express-es6-jwt-mongoose # Make it your ...
Express JWT权限中间件:简化JWT权限验证
2. 配置JWT权限:在使用express-jwt-permissions中间件之前,需要在JWT令牌中定义权限。权限通常以字符串数组的形式存在于JWT的payload(负载部分)中。例如,一个权限数组可能看起来像这样:["status", "user:read...
Express使用JWT
m0_63400611的博客
04-19 5765
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt 其中: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
JWT json web token
qq1195566313的博客
06-25 2866
当接收到请求时,从请求头中获取存储的 JWT(通过 req.headers.authorization),并使用 jsonwebtoken 的 verify 方法验证 JWT 的有效性。如果匹配,则返回登录成功的 JSON 响应,并使用 jsonwebtoken 的 sign 方法生成一个 JWT,其中包含用户的 ID 信息,并设置了过期时间为 24 小时。这段代码实现了基本的用户登录验证和通过 JWT 鉴权的接口,在登录成功后生成的 JWT 中包含了用户的 ID 信息,从而在后续请求中进行验证和授权。
express实现JWT用户认证系统
weixin_33922672的博客
12-31 435
介绍 掌握本文知识点之前需要了解的技术点有: JavaScriptexpress,MongoDB,jsonwebtoken,redis,docker 因为MongoDB和redis我是通过docker运行的,所以需要一点docker的知识。 了解以上知识点之后,下面就直接撸代码,大部分都是用户系统需要用到的业务逻辑,文章最后会放出源码地址,代码中大都实现了模块化处理,需要的验证的可以下载源...
Express框架实现JWT
Yusen2001的博客
07-08 1273
JWT JSON Web Token是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任。   JWT由三部分组成 1.Header:由两部分组成:token的类型(“JWT”)和加密算法的名称(SHA256,RSA等)。 2.Payload:包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。简单来说就是存储在token中用户自定义的数据。 3.Signature:密钥。   Expres
Express使用 JWT
Anorry的博客
03-24 1226
Express使用 JWT 相关内容
JWT基本使用
luojingam的博客
01-11 453
简介: JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。 JWT令牌结构: JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header --头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC、SHA256或RSA)。 { "alg": "HS256",
Jwt介绍
weixin_66202611的博客
09-17 3118
JWT运行机制1.第一次发送登录请求,必然会携带用户信息(用户名&密码)2.通过用户信息(用户名&密码)登录成功,会将用户信息通过jwt工具类生成一个加密的字符串3.加密字符串 会以 response header 响应头的形式 响应到前端4.前端服务器,会有响应拦截器拦截,截取到响应头承载的jwt串,有会放到Vuex中5.当第二次请求,前端服务器中有一个请求拦截器,会将Vuex中的jwt串放入request header请求头中的jwt串。
JWT介绍
qq_30525851的博客
06-06 385
提到jwt首先想到的就是token,jwt跟token又有什么关系呢?大致知道jwt是生成和解析token的,但具体什么是jwt,为什么要用jwt,工作原理是什么?
JWT介绍
凉茶铺的博客
04-28 788
介绍JWT基本概念和其使用方式
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十八朵郁金香

感恩前行路上有你相伴

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值