1.14 express小项目 和 用到的 jwt详解

已于 2025-06-19 16:48:29 修改
阅读量617 收藏 11
点赞数 10
CC 4.0 BY-SA版权
分类专栏: vue3 # nodejs 文章标签: node.js
于 2025-06-13 11:48:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chxii/article/details/148629394

我们做go最后项目 这次 改为 nodejs 重写后端

原文章:2.4.4goweb项目完结-CSDN博客文章浏览阅读647次,点赞15次,收藏7次。用户登录认证- 图书信息管理(浏览、新增)- HTML5 :使用语义化标签构建页面结构- https://chxii.blog.csdn.net/article/details/147311462?spm=1011.2415.3001.5331

nodejs重写 项目地址: 

 https://gitcode.com/chxii/NodeJS_01

json web token 介绍

JWT 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。

一、核心概念

1. JWT 的结构

JWT 由三部分组成,用点(.)分隔:

header.payload.signature

  • Header(头部)
    包含令牌类型(通常是 JWT)和使用的签名算法(如 HS256RS256)。

  • Payload(负载)
    包含声明(Claims),即关于实体(通常是用户)和其他数据的声明。

    • 注册声明:如 iss(发行人)、sub(主题)、exp(过期时间)等。
    • 公开声明:由各方自由定义。
    • 私有声明:在同意使用的各方之间定义。

  • Signature(签名)
    用于验证消息未被篡改,并且在使用私钥签名的情况下,还可以验证 JWT 的发送者身份。

二、工作流程

  1. 用户登录
    用户提供凭据(如用户名和密码)。

  2. 服务器验证
    服务器验证凭据,如果有效则创建 JWT。

  3. 返回令牌
    服务器将 JWT 返回给客户端。

  4. 客户端存储
    客户端(通常是浏览器)存储 JWT(如 localStorage、cookie 或内存)。

  5. 后续请求
    客户端在每个请求中包含 JWT(通常在 Authorization 头中,格式为 Bearer <token>)。

  6. 服务器验证
    服务器验证 JWT 的签名和有效性,然后处理请求。

三、JWT 示例

1. 生成 JWT

安装 jsonwebtoken 包:

npm install jsonwebtoken
const jwt = require('jsonwebtoken');

// 密钥(实际应用中应保存在环境变量中)
const secretKey = 'your-secret-key';

// 载荷数据
const payload = {
  userId: 123,
  username: 'john_doe',
  role: 'admin'
};


const options = {
  expiresIn: '1h' // 过期时间,也可以写成数字如 3600(单位是秒)
};

const token = jwt.sign(payload, secretKey, options);

console.log('Generated Token:', token);
2. JWT 解析 (如果你只想解析 token 的内容而不验证签名(比如查看 header 或 payload))

原生base64解码

// 典型的 JWT 示例
const jwtToken = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjEyMywidXNlcm5hbWUiOiJqb2huX2RvZSIsInJvbGUiOiJhZG1pbiIsImlhdCI6MTYxMjM0NTY3OCwiZXhwIjoxNjEyMzQ5Mjc4fQ.abcdef1234567890';

// 解析头部
const [encodedHeader, encodedPayload, signature] = jwtToken.split('.');
const header = JSON.parse(Buffer.from(encodedHeader, 'base64').toString());
const payload = JSON.parse(Buffer.from(encodedPayload, 'base64').toString());

console.log('Header:', header);
console.log('Payload:', payload);
console.log('Signature:', signature);


使用jwt库jsonwebtoken:

const parts = jwt.decode(token, { complete: true });
console.log('Header:', parts.header);
console.log('Payload:', parts.payload);

3. 验证 JWT
const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';

// 客户端发送的令牌
const token = '...';

// 验证令牌
jwt.verify(token, secretKey, (err, decoded) => {
  if (err) {
    console.error('无效的令牌:', err.message);
    return;
  }
  
  console.log('解码后的载荷:', decoded);
});
2. 常见验证错误
  • TokenExpiredError:令牌已过期。
  • JsonWebTokenError:无效的签名、格式错误等。
  • NotBeforeError:令牌尚未生效(nbf 声明)。

四、与 Express 集成

1. 中间件验证
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

// 密钥
const secretKey = 'your-secret-key';

// 验证中间件
const authenticateToken = (req, res, next) => {
  // 从头部获取令牌
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];
  
  if (!token) {
    return res.status(401).send('未提供令牌');
  }
  
  // 验证令牌
  jwt.verify(token, secretKey, (err, user) => {
    if (err) {
      return res.status(403).send('无效的令牌');
    }
    
    // 将用户信息添加到请求对象
    req.user = user;
    next();
  });
};

// 受保护的路由
app.get('/protected', authenticateToken, (req, res) => {
  res.json({ message: '受保护的资源', user: req.user });
});

app.listen(3000);

六、刷新令牌(Refresh Token)实现示例


// 刷新访问令牌的路由
app.post('/token', (req, res) => {
  const refreshToken = req.body.token;
  
  if (!refreshToken) {
    return res.status(401).send('未提供刷新令牌');
  }

  
  jwt.verify(refreshToken, refreshSecret, (err, user) => {
    if (err) {
      return res.status(403).send('无效的刷新令牌');
    }
    
    // 生成新的访问令牌
    const accessToken = jwt.sign({ userId: user.userId }, accessSecret, { expiresIn: '15m' });
    res.json({ accessToken });
  });
});

七、安全最佳实践

  1. 密钥管理

    • 使用强密钥并存储在环境变量中。
    • 对于生产环境,考虑使用非对称加密(RS256)。

  2. 令牌过期

    • 设置合理的过期时间。
    • 实现刷新令牌机制。

  3. 防止篡改

    • 不要在 JWT 中存储敏感信息(如密码)。
    • 对敏感信息进行加密。

  4. 重放攻击

    • 对刷新令牌实现失效机制。

    • 考虑添加 JTI(JWT ID)声明并维护令牌黑名单。

小项目:

        更改go最后项目 为nodejs 后端(项目地址 :GitCode - 全球开发者的开源社区,开源代码托管平台GitCode是面向全球开发者的开源社区,包括原创博客,开源代码托管,代码协作,项目管理等。与开发者社区互动,提升您的研发效率和质量。https://gitcode.com/chxii/NodeJS_01)

JWT详解
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名密码请求登录 服务端收到请求,验证用户名密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
nodejs express-jwt 使用 解析token
wangjie33589的博客
04-08 2982
作用是什么 express-jwtnodejs的一个中间件,他来验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router。 此模块允许您使用Node.js应用程序中的JWT令牌来验证HTTP请求。 JWT通常用于保护API端点。 express-jwtjsonwebtoken是什么关系 express-jwt内部引用了jsonwebtoken,对其封装使用。 在实际的项目中这两个都需要引用,他们两个
Express中的JWT使用
weixin_47295886的博客
09-14 4995
安装jwt相关的包两个:jsonwebtoken \ express-jwt 定义secret密钥 如何在登录成功后生成JWT字符串——生成Token 将JWT字符串还原成为JSON对象——解析Token 使用req.user(req.auth)获取用户信息——有权限的接口 捕获解析JWT(即解析token)失败后产生的错误——错误中间件在最后 进行捕获错误
nodejs express-jwt解析
热门推荐
BigManing的博客
08-04 1万+
作用是什么express-jwtnodejs的一个中间件,他来验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router。 此模块允许您使用Node.js应用程序中的JWT令牌来验证HTTP请求。 JWT通常用于保护API端点。express-jwtjsonwebtoken是什么关系express-
十五、Express 中使用JWT进行登录验证
灵魂学者的博客
01-11 2366
JWT是目前最流行的跨域认证解决方案,将用户的信息进行验证,验证成功后会将用户信息进行加密,生成Token之后服务器将它响应给到客户端,客户端拿到这个Token之后将它保存起来,可保存在LocalStorage或SessionStorage中,那么在下次客户端再次发起请求之后,会再将未过期的Token发给服务器去还原验证,如果验证成功服务器会将请求相应的用户信息内容返回给客户端这样一个过程。
Node express项目1JWT验证
qq_39404437的博客
03-28 1743
node项目+jwt
Node08-Express-jwt身份认证
林太白
09-12 1083
Node08-Express-jwt身份认证
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证信任,因为它是数字签名的。
JWT | JWT 详解
Blue17 の 小窝
10-02 2317
同源策略(Same-Origin Policy)是一种安全机制,它限制了从一个源加载的文档或脚本与另一个源的资源进行交互。这是 Web 安全的基础,旨在防止恶意文档从另一个源窃取数据。如a.comsub.a.com(这个是 a.com 的子域名)如httphttps如808080,请求 a.com 下的 80 端口的资源。尝试请求下的资源,就属于跨域请求。尝试请求下的资源,也属于跨域请求。尝试请求下的资源,也属于跨域请求。尝试请求下的资源,也属于跨域请求。那么为什么要区分出请求是否同源呢?
JWT令牌——详解
2302_77758423的博客
09-11 3803
在当今的Web开发中,安全认证授权变得尤为重要。JWTJSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种简洁、紧凑且自包含的方式,用于在各方之间安全地传输信息。这种信息可以被验证信任,但不需要依赖服务器来解析。
express-auth:使用jwt进行身份验证以实现快速应用程序。 请查看自述文件以获取可用的API
05-13
使用JWT进行身份验证 如何使用 在终端中运行此命令以安装依赖项 npm install 创建一个.env文件,如下所示 PORT=[number that you wish the server to run on] DB_URI=[mongo db URI] ACCESS_TOKEN_SECRET=[secret ...
express-es6-jwt-mongoose:具有JWT,PassportMongoose的ES6 RESTful Express服务器的基本项目
02-04
具有JWT,PassportMongoose的ES6 RESTful Express服务器的基本项目。 开始吧 # clone it git clone git@github.com:emersonlaurentino/express-es6-jwt-mongoose.git cd express-es6-jwt-mongoose # Make it your ...
nodejs-express-jwt:具有JWT身份验证并支持MySQLPostgreSQLNode.js Express REST API样板
04-30
nodejs-express-jwt 具有JWT身份验证并支持MySQLPostgreSQLExpress REST API Boilerplate。 通过编译; 通过身份验证; 通过; development , testingproduction 。 目录 执照 版本通知 自2018年首次发布...
node-auth-api:使用ExpressJWT构建的基本身份验证API
05-08
使用ExpressJWT构建的基本身份验证API 安装: 首先,请克隆node-auth-api存储库,然后进入以下文件夹: git clone https://github.com/mikefmeyer/node-auth-api cd node-auth-api/ npm install 配置: 要开始...
Node.js自研ORM框架深度解析与实践
最新发布
weixin_42199478的博客
08-24 150
本文深入解析了一个基于Node.jsMySQL的自研ORM框架。该框架采用轻量级设计,包含连接池管理、查询构建器、事务处理、字段验证等核心功能。主要模块包括数据库连接层(db.js)实现连接池管理事务生命周期控制,查询构建器(QueryBuilder.js)支持链式调用参数化查询,数据集操作层(dbSet.js)提供完整的CRUD操作字段验证。框架通过Promise封装实现异步操作,支持事务的自动提交/回滚,并内置分页功能,为开发者提供了高效、安全的数据库操作抽象层。
Node.js异步编程——EventEmitter事件驱动编程
程序员与背包客_CoderZ
08-24 555
Node.js中的EventEmitter模块是实现事件驱动编程的核心工具,通过维护事件名与回调函数的键值对来支持发布/订阅模式。主要功能包括:通过on/addListener注册事件监听器、emit触发事件、removeListener移除监听器。其特点包括支持多监听器顺序执行、once单次触发机制,需特别注意未处理的error事件会导致进程崩溃。文章还演示了如何手动实现简易EventEmitter类,并对比了Node.js的EventEmitter与浏览器端EventTarget的异同,最后通过日志系统
Node.js Express 面试问题总结
x15514104477的博客
08-23 551
本文总结了Node.jsExpress框架的核心面试问题,涵盖关键概念实用解决方案。文章为开发者提供了全面的技术参考,帮助应对Node.jsExpress相关的面试挑战。
Node.js异步编程——async/await实现
程序员与背包客_CoderZ
08-24 261
本文介绍了Node.js中async/await语法的基础用法及其与Promise的关系。async用于声明异步函数并返回Promise对象,await用于暂停执行直到Promise完成,需配合try/catch处理异常。通过代码示例演示了async/await相比Promise链式调用的优势,包括更好的可读性执行流程控制。文章还讲解了利用Promise.all实现并发编程的方法,并提供了网页登录验证音乐下载器两个实战案例,展示async/await在实际应用中的使用场景。最后给出了相关技术文档的参考链
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chxii

小小打赏,大大鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值