express中实现加密JWT(JSON Web Token)

最新推荐文章于 2024-12-24 02:55:29 发布
置顶 最新推荐文章于 2024-12-24 02:55:29 发布
阅读量2.2k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端 文章标签: node实现JWT express实现JWT JWT加密 登录验证 Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014713031/article/details/93872479
本文介绍JWT(JSON Web Token)在Express框架中的实现流程,包括前后端交互、加密及验证过程。JWT用于在网络应用间传递用户身份信息,通过加密确保数据安全,解决了session共享问题,但也存在登录状态续签难题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

express中实现加密JWT(JSON Web Token)

JWT(JSON Web Token)

JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。(json格式传token)
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。

JWT数据结构

JWT的三个部分:JWT头、有效载荷和签名。
JWT数据结构

JWT头

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。

{

“alg”: “HS256”,

“typ”: “JWT”

}
上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。

有效荷载

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除此之外,你还可以自定义字段,如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

签名

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

JWT工作过程

工作过程:
1.前端向服务端发送用户名和密码。

2.服务端生成JWT。

3.将生成的JWT发送到前端,相关数据(如用户角色,登录时间等)将保存在当前会话中。

4.前端向服务端请求数据时,将JWT放到Header中,发送给服务端。

5.服务端收到JWT,进行验证,确认用户信息。

6.验证成功,返回数据给前端。

交互过程

express实现过程

express部分

1、下载express-jwt (生成 token)+ jsonwebtoken(验证 token)两个包
2、设置了密码盐值以及token的secretKey(JWT默认是不加密的,这里用到了MD5加密,并用salt对密码进行了复杂化

// /constant.js
var crypto = require('crypto');
module.exports = {
    MD5_SUFFIX: 'houyuping', //固定长度的盐值salt
    md5: function (pwd) {
        var md5 = crypto.createHash('md5');
        return md5.update(pwd).digest('hex');
    },
    secretKey: 'yichen_qingting_jwttoken'
};

3、在登录环节生成token

 // /routes/user.js
var token = jwt.sign(data, constant.secretKey, {
    expiresIn: 60 * 60 * 24 // 授权时效24小时
})
res.json({
    success: true,
    message: 'success',
    token: token
})

4、设置拦截token的中间件,包括token的验证以及错误信息的返回:

// /jwt.js
const expressJwt = require("express-jwt");
const secretKey  = require('./constant');
// express-jwt中间件帮我们自动做了token的验证以及错误处理,所以一般情况下我们按照格式书写就没问题,其中unless放的就是你想要不检验token的api。
const jwtAuth = expressJwt({secret: secretKey.secretKey}).unless({path: ["/users/login","/users/query"]});
module.exports = jwtAuth;

5、最后在路由中间件前面放上jwt中间件

var express = require('express');
var router = express.Router();
var jwtAuth = require('./jwt')
// 所有请求过来都会进行身份验证
router.use(jwtAuth);
// 路由中间件
router.use(function (req, res, next) {
    // 任何路由信息都会执行这里面的语句
    console.log('this is a api request!');
// 把它交给下一个中间件,注意中间件的注册顺序是按序执行
    next();
});

前端部分

1、将获取的token保存到localstorage中

let token = window.localStorage.getItem("wyg_token");

2、每次请求带上token,将token放入header中

this.$axios.post('http://127.0.0.1:3000/users/modifyPwd',
    {data: data},
{headers: {'Authorization': `Bearer ${token}`}}
)

JWT优缺点

优点:
1. 不易被攻击,安全性高
2. 利用Authorization首部传输token,无跨域问题
3. 额外信息存储在客户端,服务端占用资源不多,也不存在session共享问题

缺点:
1. 登录状态信息续签问题。一旦发放令牌,在过期时间内无法修改注销。
2. 占用内存比cookies要大。

jwtexpresstoken加密解密实现方法
12-28 601
jwtexpresstoken加密解密实现方法
Node.js 中如何进行 JWT(JSON Web Tokens)身份验证和授权
每天都要努力学习哦~~
10-04 2829
是一种用于安全传输信息的开放标准,它通常用于身份验证和授权。在中,你可以使用库如来创建和验证 JWTJWT 允许你在服务器和客户端之间安全地传递信息,而无需存储会话状态。这使得 JWT 非常适合构建分布式系统,如单页应用(SPA)、移动应用和微服务。
express-jsonwebtoken
04-29
express-jsonwebtoken 用于快递的JsonWebTokenJWT)管理器, 此模块使用用于快速应用程序的管理身份验证。 并允许您加密令牌和将令牌列入黑名单, 该模块还具有用于认证和注销的中间件 安装 $ npm install express-jsonwebtoken 初始化 在您的应用中使用此程序包之前,必须通过以下代码对其进行初始化:(使用此程序包需要jwt.secret属性) var jwtExpress = require('express-jsonwebtoken'); var jwtManager = new JwtExpress({ jwt: { secret: 'mySecretShouldNeverBeTold', } }); 用法 签名方式 jwtExpress.sign(payload, [options =
ExpressJWT(JSON Web Token)的使用
m0_59183852的博客
02-09 581
在其紧凑的形式中,JSON Web Tokens的三个部分组成,这三个部分用点(.)连接在一起就组成了JWT字符串,它们分别是:头部(Header)有效载荷(Playload)签名(Signature)因此,JWT看起来像如下形式的字符串:xxxx.yyyy.zzzz头部通常由两部分组成:令牌的类型,即JWT,以及所使用的签名算法,例如HMAC SHA256或RSA。如:然后,对这个JSON进行Base64Url编码,形成JWT的第一部分。令牌的第二部分是有效载荷,其中包含声明。声明是关于实体(通常是用户)
Express接口案例 使用jsonwebtoken
zep
08-04 943
一、jsonwebtoken的使用 jsonwebtoken官方文档 const jwt = require('jsonwebtoken') // 以同步的方式,生成jwt // const token = jwt.sign({ // foo: 'bar' // }, 'zepzepep') // 以异步的方式,生成jwt const token = jwt.sign({ foo: 'bar' }, 'zepzepep', (err, token) => { i
Node.js身份验证实践:Express-JWTJSON Web Token的用法
m0_64642443的博客
01-31 4543
JSON Web TokenJWT)在应用程序中充当了身份验证和授权的关键工具。它通过在生成的令牌中携带用户信息,实现了无状态的身份验证,避免了传输敏感信息,同时提高了应用的安全性。主要用于验证从客户端发送的包含 JWT 的请求头。它帮助我们确认用户的身份是否有效,并在认证成功后将用户信息附加到请求对象上,方便后续处理。我们学习了如何使用库生成 JWT,并将其发送给客户端。客户端在后续请求中携带 Token,而服务器通过验证 Token 的合法性,实现了用户的无缝身份认证。除了认证外,
Express JWT(JSON Web Token)
雾里看花叹朦胧
11-14 312
NodeJS Express JSON Web Token /* 总体思路是: 1.login 成功之后,先获取一个token,然后保存起来,可以是 cookie,也可以是项目中的某个变更 //client: const jwt = require("./jwt/jtw"); $.post(url, data, function() { let us = $("#us"); const token = jwt.getAccessToken({us: us}); }); 2.后面每次请求,都需
express框架中使用jwt实现验证的方法
10-16
使用JSON Web Tokens(JWT)是实现服务端安全认证的一种常用方法,尤其是在使用Express框架开发Node.js应用时。在本篇内容中,我们将介绍如何在Express应用中集成JWT进行用户验证。通过示例代码和配置步骤,我们将...
nodejs-jwt-implementation:Node.js中的JSON Web令牌实现
03-07
JSON Web TokenJWT)是一种广泛使用的身份验证和授权机制,特别是在Web应用和API中。Node.js作为轻量级、高性能的JavaScript运行环境,是开发此类应用的理想选择。本篇文章将深入探讨如何在Node.js中实现JWT,以及...
使用JSON Web Token实现Express.js API接口签名认证
理解JSON Web Token (JWT) 签名认证 JSON Web Token (JWT) 是一种用于在网络应用间安全传递信息的开放标准(RFC7519)。本章将介绍JWT的基本概念、工作原理以及在Web开发中的优点和用途。 ## 1.1 什么是JSON Web ...
express-jwt-authz:验证JWT范围以授权对端点的访问
02-05
表达jwt-authz 验证JWT scope以授权对端点的访问。 安装 $ npm install express-jwt-authz express@^4.0.0是对等依赖项。 确保它已安装在您的项目中。 用法 与一起使用可验证JWT并确保它具有调用端点的正确权限。 var jwt = require ( 'express-jwt' ) ; var jwtAuthz = require ( 'express-jwt-authz' ) ; var options = { } ; app . get ( '/users' , jwt ( { secret : 'shared_secre
node.js之expresstoken验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 中的用户信息,比如用户 id
jsonwebtoken + express 实现登录获取token
Cool Cool の 橙的博客
08-10 418
首先我们得先安装 npm install -S jsonwebtoken 然后再引入 const jwt = require('jsonwebtoken'); //前台点击登录后访问的API app.post('/api/login',function(req,res){ //登录API // console.log(req.body) const user = require('./property/conn/user'); user.login(req.body.userna
Express + JSON WEB TOKEN
chenghuan8483的博客
08-18 170
express4 & jsonwebtoken & express-jwt JSON Web Token What`s a JWT Based on a Web Standard(RFC7519) Used to Securely communicate JSON objec...
node笔记:node expressjsonwebtoken+express-jwt实现token登录验证两种方式(尽力写详细了)
热门推荐
weixin_45295262的博客
12-28 2万+
之前用过token,也知道是用来授权的,但是不知道后端如何生成,为什么一定要用token,token又是怎么验证的等等,希望这篇文章帮到和我一样学啥忘啥的笨蛋… 1.简单了解JWT 1.JWT 的数据结构 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjp7fSwidHlwZSI6ImV4cHJlc3Mtand0IiwiY3RpbWUiOjE2MDkwNzk0OTkzMzYsImlhdCI6MTYwOTA3OTQ5OSwiZXhwIjoxNjA5MDgzMDk5
jsonwebtokenexpress-jwt的使用
hsany330的专栏
03-16 942
jsonwebtokenexpress-jwt——nodeJs下用户权限验证token的生成与验证工具,踩坑记录~~~ 使用步骤: 一、下载 npm install jsonwebtoken --save npm install express-jwt --save 二、生成token验证token 在user.js文件中 const jwt = require('jsonwebtoken'); //秘钥 var signkey = 'mes_qdhd_mobile'; //生
nodejs中express基础上JWT认证机制的使用, jsonwebtoken包和express-jwt中间件的使用,以及token拦截的中间件
xal
03-03 2171
1.JWT的组成部分 JWT通常由三部分组成,分别是 Header(头部)、Payload(有效荷载)、Signature(签名)。 三者之间使用英文的“.”分隔,格式如下: Header.Payload.Signature 2.JWT的三个部分各自代表的含义 JWT的三个组成部分,从前到后分别是 Header、Payload、Signature。 其中: Payload部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。
Node.js 使用 Express-JwtJsonWebToken 进行Token身份验证
秋窗的博客
08-18 1493
本文将实现Node.js中使用Express-JwtJsonWebToken进行身份验证
Node.js Express 静态文件服务 Token认证 jsonwebtoken生成Token验证Token
最新发布
博观而约取,厚积而薄发~
12-24 490
静态文件服务,Express提供了静态文件服务,可以直接使用。Token,一种用于身份验证的凭证,是无状态的认证方式,由服务器生成并发送给客户端,客户端会再次将该Token发送回服务器,服务器通过验证Token的有效性来确认用户身份。,nodejs的一个非常流行的库,用于创建和解析JSON Web令牌。JSON Web令牌(JWT)是一种开放标准(RFC 7519),它定义了一种用于简洁,自包含的方式来表示要在双方之间传输的信息,该信息可以被验证和信任,因为它是数字签名的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值