【Express.js】JWT基础鉴权

JWT基础鉴权

Web安全是Web应用中非常重要的一环,主要由后端和服务器承担安全保障
面对请求源,后端有着各种各样的鉴权机制: session,cookie,token,jwt,OAuth,OAuth2,api-key,signature…
本节以jwt为例,演示一个极简的token鉴权

准备工作

  • 拷贝第一节HelloWorld项目
  • 安装一种jwt依赖(本节使用jsonwebtoken)

实践

接下来我们使用jsonwebtoken来实现最常见的登录鉴权,登录成功后返回一个token,之后凭借这个token去访问另外的路由

  • 首先引入jwt依赖
const jwt = require('jsonwebtoken').default;
  • 定义一个密钥

之后我们会利用这个密钥生成token,和检验token

const secret = 'mysecretkey';
  • 写个登录时生成token的函数

传入用户名和密码,检验密码,正确就生成一个token
生成token: jwt.sign(标志,密钥,选项(生命周期等))

function getToken(user) {
    let token = null;
    const payload = {
      uname: user.uname,
    };
    if (user.uname == 'root' && user.passwd == 'root') {
        token = jwt.sign(payload, secret, { expiresIn: '1h' });
    }
    return token;
}
  • 写一个访问时检验token的函数

传入req,res,next,从请求头中取出名字为’token’的一个token,若请求头里不带token则返回请求报告没token,token校验通过了则放行

function checkToken(req, res, next) {
    const token = req.headers['token'];
    if (!token) return res.status(401).json({ message: 'No token provided.' });
    jwt.verify(token, secret, (err, decoded) => {
      if (err) return res.status(500).json({ message: 'Failed to authenticate token.' });
      req.userId = decoded.id;
      next();
    });
}  
  • 编写登录接口
app.post('/login', (req, res) => {
    let user = req.body;
    let token = getToken(user);
    if(token!=null) {
        res.send(token);
    } else {
        res.status(401).send("wrong");
    }    
});
  • 编写一个需要校验token的接口

将token检验函数作为中间件挂载到 /root 路由上

app.get('/root', checkToken, (req, res) => {
    res.send('hello root user!');
});

接口测试

尝试用api调试工具先访问 login 接口,利用正确的用户名和密码获取token,然后用得到的token去访问 root 接口

下一节-全局错误处理

你可能感兴趣的:(Express,express,javascript,web安全,后端,教程)