Nodejs + Expressjs+ JWT,JWT使用
为什么要用研究JWT呢,一次关于用户token传递到讨论中,研发部的同事提到 SpringCloud 的zuul网关中引入 JWT,底层服务进行无状态处理,来实现我们之前关于token 传递的技术需求。
JWT(JSON Web Token),字面意思很好理解,就是Web的JSON令牌。一种通过Web可以安全传递JSON格式信息的机制。优势体量小,防串改,数据相对安全。可以用于客户端到服务器端重要用户数据保持,验证用户签名数据,也可以用于无状态服务的状态保持。(个人粗略理解),而我们项目要做的事情,就是用户登录后把用户当前操作的企业关系,以及用户id存储起来。通过网关将JWT解密后,有相关业务权限的API调用都是使用JWT中传递过来的参数进行权限校验。也可以参考JWT简介或者官方网站jwt.io
本人对SpringCloud zuul 网关的认知还是有限,于是就用Nodejs 对JWT进行了实践.本文参照这篇文章实践的。
首先是环境我使用的是expressjs+jsonwebtoken 还有一些类库morgan ,mongoose,body-parser ,测试代码包依赖如下
{"dependencies": {
"body-parser": "^1.17.2",
"express": "^4.15.3",
"express-jwt": "^5.3.0",
"jsonwebtoken": "^7.4.1",
"mongoose": "^4.10.4",
"morgan": "^1.8.2"
}}
会用Nodejs的,安装这些估计都没有问题。
写一个配置文件 config.js
module.exports = {
'network' : {
'port':8080
},
'jwtsecret': 'myjwttest',
'database': '你的mongo库链接或者其他'
};
实现简单的配置,然后是mongo数据库操作对象文件 user.js 返回User表对象
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
// 返回一个mongo用户库实例
module.exports = mongoose.model('User', new Schema({
name: String,
password: String,
admin: Boolean //要不要都行
}));
下来是写我们的主逻辑 index.js
1.引用
var express = require('express');
var app = express();
var bodyParser = require('body-parser');
var morgan = require('morgan');
var mongoose = require('mongoose');
var jwt = require('jsonwebtoken'); // 使用jwt签名
var config = require('./config'); // 引入配置
var User = require('./user'); // 获得mongo用户库实例
2.基础应用开启
// mongo数据库设置
mongoose.connect(config.database);
// 设置superSecret 全局参数
app.set('superSecret', config.jwtsecret);
// 使用 body parser 将post参数及URL参数可以通过 req.body或req.query 拿到请求参数
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());
// 使用 morgan 将请求日志输出到控制台
app.use(morgan('dev'));
//根路径处理结果
app.get('/', function(req, res) {
res.send('JWT 授权访问的API路径 http://localhost:' + config.network.port + '/api');
});
//开启服务
app.listen(config.network.port);
console.log('JWT测试服务已经开启地址: http://localhost:' + config.network.port);
开启一个初始化express app 并开启一个express 应用。
3.用户数据写入
// 在steup 路径下简单用户数据写入操作,为了身份验证,当然也可以不使用数据库。
app.post('/setup', function(req, res) {
if(req.body.name && req.body.password){
var nick = new User({
name: req.body.name,
password: req.body.password,
admin:req.body.admin||false
});
nick.save(function(err) {
if (err) throw err;
console.log('用户存储成功');
res.json({ success: true });
});}
else{
res.json({ success: false,msg:"错误参数" });
}
});
简单写入
4.获取授权Token
// 用户授权路径,返回JWT 的 Token 验证用户名密码
app.post('/authenticate', function(req, res) {
User.findOne({
name: req.body.name
}, function(err, user) {
if (err) throw err;
if (!user) {
res.json({ success: false, message: '未找到授权用户' });
} else if (user) {
if (user.password != req.body.password) {
res.json({ success: false, message: '用户密码错误' });
} else {
var token = jwt.sign(user, app.get('superSecret'), {
expiresIn : 60*60*24// 授权时效24小时
});
res.json({
success: true,
message: '请使用您的授权码',
token: token
});
}
}
});
});
到了这一步,已经可以拿到jwt 的token 了,然后就可以通过token访问到下面要设定的API路径了。
5.API路由处理 拦截验证JWT
// localhost:端口号/api 路径路由定义
var apiRoutes = express.Router();
apiRoutes.use(function(req, res, next) {
// 拿取token 数据 按照自己传递方式写
var token = req.body.token || req.query.token || req.headers['x-access-token'];
if (token) {
// 解码 token (验证 secret 和检查有效期(exp))
jwt.verify(token, app.get('superSecret'), function(err, decoded) {
if (err) {
return res.json({ success: false, message: '无效的token.' });
} else {
// 如果验证通过,在req中写入解密结果
req.decoded = decoded;
//console.log(decoded) ;
next(); //继续下一步路由
}
});
} else {
// 没有拿到token 返回错误
return res.status(403).send({
success: false,
message: '没有找到token.'
});
}
});
6.JWT验证后操作
//API跟路径返回内容
apiRoutes.get('/', function(req, res) {
res.json({ message: req.decoded._doc.name+' 欢迎使用API' });
});
//获取所有用户数据
apiRoutes.get('/users', function(req, res) {
User.find({}, function(err, users) {
res.json(users);
});
});
// 注册API路由
app.use('/api', apiRoutes);
7.运行node应用
node index
8.Postman测试
如果有需要通过nodejs 了解jwt 的可以访问源代码github
源地址(请尊重原创)
请使用手机"扫一扫"x