1.14 express小项目 和 用到的 jwt详解
我们做go最后项目 这次 改为 nodejs 重写后端
原文章:2.4.4goweb项目完结-CSDN博客文章浏览阅读647次,点赞15次,收藏7次。用户登录认证- 图书信息管理(浏览、新增)- HTML5 :使用语义化标签构建页面结构-https://chxii.blog.csdn.net/article/details/147311462?spm=1011.2415.3001.5331
nodejs重写 项目地址:
https://gitcode.com/chxii/NodeJS_01
json web token 介绍
JWT 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。
一、核心概念
1. JWT 的结构
JWT 由三部分组成,用点(.)分隔:
header.payload.signature
-
Header(头部):
包含令牌类型(通常是JWT)和使用的签名算法(如HS256、RS256)。 -
Payload(负载):
包含声明(Claims),即关于实体(通常是用户)和其他数据的声明。- 注册声明:如
iss(发行人)、sub(主题)、exp(过期时间)等。 - 公开声明:由各方自由定义。
- 私有声明:在同意使用的各方之间定义。
- 注册声明:如
-
Signature(签名):
用于验证消息未被篡改,并且在使用私钥签名的情况下,还可以验证 JWT 的发送者身份。
二、工作流程
-
用户登录:
用户提供凭据(如用户名和密码)。 -
服务器验证:
服务器验证凭据,如果有效则创建 JWT。 -
返回令牌:
服务器将 JWT 返回给客户端。 -
客户端存储:
客户端(通常是浏览器)存储 JWT(如 localStorage、cookie 或内存)。 -
后续请求:
客户端在每个请求中包含 JWT(通常在Authorization头中,格式为Bearer)。 -
服务器验证:
服务器验证 JWT 的签名和有效性,然后处理请求。
三、JWT 示例
1. 生成 JWT
安装 jsonwebtoken 包:
npm install jsonwebtokenconst jwt = require('jsonwebtoken');
// 密钥(实际应用中应保存在环境变量中)
const secretKey = 'your-secret-key';
// 载荷数据
const payload = {
userId: 123,
username: 'john_doe',
role: 'admin'
};
const options = {
expiresIn: '1h' // 过期时间,也可以写成数字如 3600(单位是秒)
};
const token = jwt.sign(payload, secretKey, options);
console.log('Generated Token:', token);
2. JWT 解析 (如果你只想解析 token 的内容而不验证签名(比如查看 header 或 payload))
原生base64解码
// 典型的 JWT 示例
const jwtToken = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjEyMywidXNlcm5hbWUiOiJqb2huX2RvZSIsInJvbGUiOiJhZG1pbiIsImlhdCI6MTYxMjM0NTY3OCwiZXhwIjoxNjEyMzQ5Mjc4fQ.abcdef1234567890';
// 解析头部
const [encodedHeader, encodedPayload, signature] = jwtToken.split('.');
const header = JSON.parse(Buffer.from(encodedHeader, 'base64').toString());
const payload = JSON.parse(Buffer.from(encodedPayload, 'base64').toString());
console.log('Header:', header);
console.log('Payload:', payload);
console.log('Signature:', signature);
使用jwt库jsonwebtoken:
const parts = jwt.decode(token, { complete: true });
console.log('Header:', parts.header);
console.log('Payload:', parts.payload);3. 验证 JWT
const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';
// 客户端发送的令牌
const token = '...';
// 验证令牌
jwt.verify(token, secretKey, (err, decoded) => {
if (err) {
console.error('无效的令牌:', err.message);
return;
}
console.log('解码后的载荷:', decoded);
});
2. 常见验证错误
- TokenExpiredError:令牌已过期。
- JsonWebTokenError:无效的签名、格式错误等。
- NotBeforeError:令牌尚未生效(
nbf声明)。
四、与 Express 集成
1. 中间件验证
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
// 密钥
const secretKey = 'your-secret-key';
// 验证中间件
const authenticateToken = (req, res, next) => {
// 从头部获取令牌
const authHeader = req.headers['authorization'];
const token = authHeader && authHeader.split(' ')[1];
if (!token) {
return res.status(401).send('未提供令牌');
}
// 验证令牌
jwt.verify(token, secretKey, (err, user) => {
if (err) {
return res.status(403).send('无效的令牌');
}
// 将用户信息添加到请求对象
req.user = user;
next();
});
};
// 受保护的路由
app.get('/protected', authenticateToken, (req, res) => {
res.json({ message: '受保护的资源', user: req.user });
});
app.listen(3000);
六、刷新令牌(Refresh Token)实现示例
// 刷新访问令牌的路由
app.post('/token', (req, res) => {
const refreshToken = req.body.token;
if (!refreshToken) {
return res.status(401).send('未提供刷新令牌');
}
jwt.verify(refreshToken, refreshSecret, (err, user) => {
if (err) {
return res.status(403).send('无效的刷新令牌');
}
// 生成新的访问令牌
const accessToken = jwt.sign({ userId: user.userId }, accessSecret, { expiresIn: '15m' });
res.json({ accessToken });
});
});
七、安全最佳实践
-
密钥管理:
- 使用强密钥并存储在环境变量中。
- 对于生产环境,考虑使用非对称加密(RS256)。
-
令牌过期:
- 设置合理的过期时间。
- 实现刷新令牌机制。
-
防止篡改:
- 不要在 JWT 中存储敏感信息(如密码)。
- 对敏感信息进行加密。
-
重放攻击:
-
对刷新令牌实现失效机制。
-
考虑添加 JTI(JWT ID)声明并维护令牌黑名单。
-
小项目:
更改go最后项目 为nodejs 后端(项目地址 :GitCode - 全球开发者的开源社区,开源代码托管平台GitCode是面向全球开发者的开源社区,包括原创博客,开源代码托管,代码协作,项目管理等。与开发者社区互动,提升您的研发效率和质量。
https://gitcode.com/chxii/NodeJS_01)
