在node中使用JWT认证
在node中使用JWT认证
JWT(JSON Web Tokens) 是一种流行的身份验证方法,可让我们以 JSON 对象的形式在各方之间安全地传输信息。在本文中,我们将介绍如何在 Node.js 应用程序中 使用JWT 身份验证。
什么是JWT
JWT 是一个紧凑且独立的 JSON 对象,其中包含有关用户身份验证的信息。该信息使用密钥进行数字签名,可以被验证和信任。
JWT 由以下几方面组成:
header(标头):包含有关JWT编码方式的信息,例如用于签署令牌的算法。payload(有效负载):这包含声明。声明是关于实体(通常是用户)和附加元数据的声明。声明分为三种类型:注册声明、公共声明和私人声明。signature(签名):这用于验证JWT的发送者是否是其声称的身份,并确保消息在此发送过程中没有被更改。签名是通过获取编码标头、编码有效负载和密钥,然后使用指定算法对它们进行创建的。
以下是一个 JWT 示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
设置环境
在我们讲解之前,让我们设置我们的开发环境。我们将使用以下工具和包:
Node.js:我们将使用Node.js作为服务器端语言。Express:这是一个流行的Node.js Web框架,我们将用它来处理HTTP请求。jsonwebtoken:这是一个流行的库,用于在Node.js中生成和验证JWT。
让我们首先使用以下命令创建一个新的 Node.js 项目:
npm init
接下来,运行以下命令来安装所需的软件包:
npm install express jsonwebtoken
实现JWT身份验证
首先,让我们创建一个名为index.js 的新文件,并添加以下代码来设置我们的 Express 应用程序:
const express = require('express');
const app = express();
const port = 3000;
app.listen(port, () => {
console.log(`Server running at http://localhost:${port}`);
});
接下来,让我们创建一个简单的路由,如果用户通过身份验证,它将返回一条消息:
app.get('/protected', (req, res) => {
res.send('Welcome to the protected route');
});
通过添加中间件来实现身份验证过程,该中间件将检查传入请求标头中是否存在有效的 JWT :
const jwt = require('jsonwebtoken');
const secretKey = 'secret_key';
const authenticate = (req, res, next) => {
const token = req.headers['authorization'];
if (!token) {
return res.status(401).send('Access Denied. No token provided.');
}
try {
const decoded = jwt.verify(token, secretKey);
req.user = decoded;
next();
} catch (error) {
return res.status(400).send('Invalid Token.');
}
};
app.get('/protected', authenticate, (req, res) => {
res.send('Welcome to the protected route');
});
在上面的代码中,我们导入了jsonwebtoken库并创建了用于签名和验证 JWT 的密钥。然后,我们创建了一个名为 authenticate 的中间件函数,该函数将用于检查传入请求标头Authorization中的有效 JWT。
如果存在令牌,我们将使用jsonwebtoken库中的verify方法来解码令牌并检查其有效性。如果令牌有效,我们将解码后的信息添加到req对象中,并调用next函数以继续下一个中间件或路由处理程序。
如果未提供令牌或令牌无效,我们将分别返回带有401或400状态码的错误消息。
生成JWT
现在我们已经完成了身份验证过程,让我们创建一个用于生成 JWT 的路由。例如,这可以在用户登录时完成。
app.post('/login', (req, res) => {
const user = {
id: 1,
username: 'leo'
};
const token = jwt.sign({ user }, secretKey, { expiresIn: '1h' });
res.header('Authorization', token).send(user);
});
在上面的代码中,我们创建了一个/login路由,当收到POST请求时,该路由将生成 JWT。我们创建了一个模拟用户对象,并使用jsonwebtoken库中的sign方法生成 JWT。我们指定了密钥并将expiresIn选项设置为1h,这意味着令牌将在一小时后过期。
最后,我们将生成的 JWT 添加到响应标头的Authorization字段中,并将用户信息发送回客户端。
实现令牌刷新
JWT 的一个问题是它们的寿命很短,需要定期刷新。为了解决这个问题,我们可以使用刷新令牌。
刷新令牌是与访问令牌是不同的,它们可用于生成新的访问令牌。出于安全原因,这使我们能够保持访问令牌的短暂性,同时仍然允许用户在更长的时间内保持身份验证。
我们修改/login路由以生成访问令牌和刷新令牌:
app.post('/login', (req, res) => {
const user = {
id: 1,
username: 'leo'
};
const accessToken = jwt.sign({ user }, secretKey, { expiresIn: '1h' });
const refreshToken = jwt.sign({ user }, secretKey, { expiresIn: '1d' });
res.cookie('refreshToken', refreshToken, { httpOnly: true, sameSite: 'strict' })
.header('Authorization', accessToken)
.send(user);
});
接下来,我们将创建一条用于刷新访问令牌的新路由。该路由将从客户端接收刷新令牌并使用它生成新的访问令牌:
app.post('/refresh', (req, res) => {
const refreshToken = req.cookies['refreshToken'];
if (!refreshToken) {
return res.status(401).send('Access Denied. No refresh token provided.');
}
try {
const decoded = jwt.verify(refreshToken, secretKey);
const accessToken = jwt.sign({ user: decoded.user }, secretKey, { expiresIn: '1h' });
res
.header('Authorization', accessToken)
.send(decoded.user);
} catch (error) {
return res.status(400).send('Invalid refresh token.');
}
});
在上面的代码中,我们创建了一个用于刷新访问令牌的新路由。该路由检查 cookie 中是否存在刷新令牌,如果找到令牌,我们将使用verify方法检查其有效性。如果刷新令牌有效,我们将生成一个与原始令牌具有相同信息的新访问令牌,并将其发送回客户端。
最后,我们可以更新authenticate中间件以检查访问令牌和刷新令牌,并在必要时刷新访问令牌:
const authenticate = (req, res, next) => {
const accessToken = req.headers['authorization'];
const refreshToken = req.cookies['refreshToken'];
if (!accessToken && !refreshToken) {
return res.status(401).send('Access Denied. No token provided.');
}
try {
const decoded = jwt.verify(accessToken, secretKey);
req.user = decoded.user;
next();
} catch (error) {
if (!refreshToken) {
return res.status(401).send('Access Denied. No refresh token provided.');
}
try {
const decoded = jwt.verify(refreshToken, secretKey);
const accessToken = jwt.sign({ user: decoded.user }, secretKey, { expiresIn: '1h' });
res
.cookie('refreshToken', refreshToken, { httpOnly: true, sameSite: 'strict' })
.header('Authorization', accessToken)
.send(decoded.user);
} catch (error) {
return res.status(400).send('Invalid Token.');
}
}
};
在上面的代码中,我们首先检查访问令牌和刷新令牌是否存在。如果仅提供了访问令牌,我们会检查其有效性,如果有效则继续请求。如果访问令牌无效,我们将检查是否存在刷新令牌。如果找到刷新令牌,我们将验证其有效性并根据刷新令牌中的信息生成新的访问令牌。如果刷新令牌无效,我们会向客户端发送一条错误消息。
完成这些更改后,我们现在拥有一个带有刷新令牌机制的完整 JWT 身份验证系统。要使用该系统,客户端可以首先向路由发出请求/login以接收访问令牌和刷新令牌。然后,他们可以将访问令牌包含在所有后续请求标头中的Authorization以访问受保护的路由。如果访问令牌过期,客户端可以向路由发出请求/refresh以接收新的访问令牌。