node.js之express的token验证

原创 已于 2023-08-16 15:57:57 修改 · 置顶 · 1w 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#express #1024程序员节

于 2019-02-24 17:22:06 首次发布
本文详细介绍如何使用jsonwebtoken生成和验证token,包括在Express框架中设置中间件进行token验证,解析用户信息,以及处理token过期情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、用jsonwebtoken生成token
2、用express-jwt验证token是否过期或失效
3、用jsonwebtoken解析出token中的用户信息,比如用户id

注意:
使用res.json()发送响应时,需要 return res.json(),类似res.send()等函数也要加return,而且是所有的地方都要加,即使是a请求的响应没加return,当b请求到来时,也会报错:cant’t set headers after they are sent。

报错原因: 默认多次操作res或req

1、新建token_vertify.js文件,用于封装token生成和解析函数

如下:token_vertify.js

var jwt = require('jsonwebtoken');
var signkey = 'mes_qdhd_mobile_xhykjyxgs';

// 签发token
exports.setToken = function(username,userid){
	return new Promise((resolve,reject)=>{
		const token = jwt.sign({
			name:username,
			_id:userid
		},signkey,{ expiresIn:'0.01h' });
		resolve(token);
	})
}

// 验证token
exports.verToken = function(token){
	return new Promise((resolve,reject)=>{
		var info = jwt.verify(token.split(' ')[1],signkey);
		resolve(info);
	})
}

2、在 app.js 中验证token是否过期,如果没过期,则解析出用户信息

app.js中部分代码

var vertoken = require('./token_vertify.js');
var expressJwt = require('express-jwt');

// 解析token获取用户信息,并将用户信息存入 user 中以备使用
app.use(function(req, res, next) {
	var token = req.headers['authorization'];
	if(!token){
		return next();
	} else {
		vertoken.verToken(token).then((data)=> {
			req.user = data;
			return next();
		}).catch((error)=>{
			return next();
		})
	}
});

//验证token是否过期并约定哪些路由不用验证
app.use(expressJwt({
	secret: 'mes_qdhd_mobile_xhykjyxgs'
}).unless({
	path: ['/login']//除了这个地址,其他的URL都需要验证
}));

app.use('/login', loginRouter);
app.use('/users', usersRouter);

//当token失效返回提示信息
app.use(function(err, req, res, next) {
	if (err.status == 401) {
		return res.status(401).send('token失效');
	}
});

// 配置哪些路由需要 jwt 验证哪些不需要,也可以通过在路由中间件第二个参数配置,示例如下:
const expressJwt = require(‘express-jwt’);
const authenticate = expressJwt ({ secret: ‘mes_qdhd_mobile_xhykjyxgs’ });
app.use(‘/auth’, authenticate, loginRouter); // 需要token验证的接口
app.use(‘/notAuth’, usersRouter); // 不需要token验证的接口

3、在路由中使用前面定义的方法

login.js文件

var express = require('express');
var router = express.Router();
var settoken = require('./token_vertify.js');

// 生成token

router.post('/', function(req, res, next) {
	var username = 'slj';
	var userid = "111";
	settoken.setToken(username,userid).then((data)=>{
		return res.json({ token: data });
	})
	return next();
});

module.exports = router;

users.js文件

var express = require('express');
var router = express.Router();

// 身份验证
router.post('/vertify', function(req, res, next) {
	console.log(req.user)
	if(req.user){
		return res.json({
			msg:'身份验证成功'
		})
	}else{
		return res.json({
			msg:'未获取到用户信息'
		})
	}
	next();
});

module.exports = router;

看一下结果:

请求/login生成token并返回给客户端
在这里插入图片描述
成功验证token
在这里插入图片描述
当token失效
在这里插入图片描述
提供打包好的源码下载

express,接口 token 验证
读心悦
10-08 1063
通过上述步骤,你已经在 Express.js 中实现了一个基本的 token 验证机制。你可以根据实际需求对验证逻辑进行扩展,例如添加对 token 颁发者的验证、刷新 token 功能等。在使用 Express.js 开发 RESTful API 时,进行接口的 token 验证是一种常见的安全措施。Token 通常用于身份验证和授权,确保只有持有有效 token 的用户才能访问特定的 API 路由。在实际应用中,你会在某个认证流程(如登录)中生成 token 并返回给用户。首先,确保你已经安装了。
node.js中实现token的生成与验证
01-11 987
node.js中实现token的生成与验证
nodejs express中使用token验证机制
small_white_123的博客
11-21 3254
token身份认证基本概念了解Session认证的局限性什么是tokenjwt的原理jwt的组成JWT的三个部分各自代表的含义jwt的使用方式在express中使用jwt定义secret密钥在登录成功后生成 JWT 字符串解析 JWT字符串 还原为JSON对象使用req.user 获取用户信息错误中间件前端如何使用token 基本概念 了解Session认证的局限性 Session 认证机制需要配合Cookie才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做
Next.js中间件权限绕过漏洞分析(CVE-2025-29927)
最新发布
weixin_40232996的博客
05-21 127
是Next.js框架中存在的一个高危中间件逻辑绕过漏洞,允许攻击者通过构造特定HTTP请求头,绕过中间件的安全控制逻辑(如身份验证、路径重写、CSP防护等)。该漏洞CVSS评分,可导致未授权访问、数据泄露及拒绝服务攻击。
express中进行token认证
邓占勇的博客
03-25 5585
什么是Token Token 是在服务端产生的,当客户端传来的用户名/密码验证通过时,就会在服务器端生成一个Token返回给客户端,这个Token中包含了用户信息、过期时间等信息。客户端接收到返回的token后将其保存,在有效时间内客户端向服务器端发送请求时只需要带上这个token即可,无需再带上用户名和密码。 express中进行Token认证 1.安装jsonwebtoken ...
四、使用Express在服务端设置token验证
A_bad_boy_hahaha的博客
06-11 1882
Token令牌的流程 服务端在收到用户的登录请求的时候,验证用户名和密码 验证成功之后,服务端会生成一个Token令牌,并把这个Token发送给客户端 客户端收到Token之后,可以把它存储在LocalStorage中 客户端在每次使用axios发起请求的时候,可以使用请求拦截器把本地存储的Token放在请求头中发送给服务端 服务端收到请求之后,验证请求头中的Token如果验证成功就返回数据, 使用NodeJS生成token 生成Token需要安装两个依赖包 npm i jsonwebtoken
移动校园(7):node.jsexpresstoken验证,express全局错误处理中间件,uniapp路由守卫登录拦截,uniapp封装request带token
2301_77133858的博客
07-06 613
后期预计上线功能设计不同用户,所以打算今天实现token登录。因为是第一次自己实现,所以我会全程记录,方便以后查看。
Node.js-Node.jsExpress.js身份验证API样板
08-10
Node.js是一款基于Chrome V8引擎的JavaScript运行环境,它让JavaScript可以在服务器端执行,打破了JavaScript只能在浏览器中运行的传统。Express.jsNode.js的一个轻量级框架,它极大地简化了Web应用的开发,提供了...
node.js实现token验证——从数据库验证登录到redis存储
weixin_43930421的博客
08-20 2061
做过前后端分离项目的同学应该都做过 token 验证,在前端登录的时候需要缓存后端传过来的 token,然后在需要验证权限的接口带上 token。本章节来实现使用 node 进行 token 的权限验证
express+jwt实现token验证
qq_40026070的博客
06-19 2734
由于面试了前端,但是我简历上写着我会后端所以被问到了token验证这个问题,但是我自己的项目是没有用到的,他问了我jwt的组成结构什么的。。我当然是一问三不知啦,所以回来之后就自己额外做了一下这个token验证。 组成 jwt主要有三部分组成 header,主要就是存放了你的token类型和你的加密方式。 playload,一般有签发人,签发时间,过期时间,编号等,这部分是可以添加自己的一些数据进去。 signature,要生成这个是需要以上两个字段的,还需要一个密钥,这是只有服务端才知道的一个密钥,生成
Node.js-一个基于token验证登录
08-09
一个基于vue node mongodb实现的Jsonwebtoken简单登录功能
Node.jsExpress中生成Token的完整指南
lph159的博客
09-20 1889
Token 是一种用于身份验证的凭证。与传统的基于会话的认证机制不同,Token 是一种无状态的认证方式,通常由服务器生成并发送给客户端。在后续的请求中,客户端会将该 Token 发送回服务器,服务器通过验证 Token 的有效性来确认用户身份。Token 认证机制是一种高效、灵活的身份验证方式,尤其适用于分布式系统和无状态的 API。通过 Express 和库,我们可以轻松实现基于 Token 的认证系统,并确保通信的安全性。
node使用 express jwt 实现token登录验证
热门推荐
weixin_53510183的博客
04-17 2万+
node使用 express jwt 实现token登录验证
express登录返回token并进行token验证
qq_35385241的博客
04-21 1923
使用express做登录token验证如下: 1. 用户登录成功后,使用jsonwebtoken生成token并返回 Install npm install jsonwebtoken usage const jwt = require('jsonwebtoken'); jwt.sign({ exp: Math.floor(Date.now() / 1000) + (60 * 60), data: 'foobar' }, 'secret', (err, token) => { consol
Expresstoken认证 实现无感刷新token
YN2004的博客
03-29 1351
以上就是我本章要分享的内容了,写的不好请见谅,希望通过本章,可以让你对双token有一个大概的理解。
基于express框架的Token实现方案
diaolin4794的博客
04-07 491
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证token Token的特点 随机性 不可预测性 时效性 无状态、可扩展 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,验证登录是否成功 验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息 客...
Node.js身份验证实践:Express-JWT和JSON Web Token的用法
m0_64642443的博客
01-31 4559
JSON Web Token(JWT)在应用程序中充当了身份验证和授权的关键工具。它通过在生成的令牌中携带用户信息,实现了无状态的身份验证,避免了传输敏感信息,同时提高了应用的安全性。主要用于验证从客户端发送的包含 JWT 的请求头。它帮助我们确认用户的身份是否有效,并在认证成功后将用户信息附加到请求对象上,方便后续处理。我们学习了如何使用库生成 JWT,并将其发送给客户端。客户端在后续请求中携带 Token,而服务器通过验证 Token 的合法性,实现了用户的无缝身份认证。除了认证外,
node express 下开发token功能 生成与验证
qq_40557812的博客
11-24 843
功能描述 功能主要为服务的如何生成token,如何验证token;express下主要使用JWT方式。 原生的jsonwebtokenexpressJwt 两种方式的简单实现 一、jsonwebtoken + expressJwt 安装 npm install express-jwt --save npm install jsonwebtoken --save 生成 tokenUtil.secret,tokenUtil.expiresIn为公共文件定义的变量,便于后期维护 //引入 var jwt
node.js jwt实现token登录验证
03-15
### 如何在 Node.js 中使用 JWT 实现 Token 登录验证 以下是基于 `jsonwebtoken` 和其他必要依赖项的完整示例,展示如何在 Node.js 中实现基于 JWT 的用户登录和身份验证。 #### 安装必要的依赖包 为了实现此功能,需要安装以下模块: - **express**: 构建服务器端 API。 - **jsonwebtoken**: 生成和解析 JSON Web Tokens (JWT)。 - **bcryptjs**: 加密用户密码以便存储和比较。 运行以下命令以安装这些依赖项: ```bash npm install express jsonwebtoken bcryptjs body-parser ``` --- #### 创建项目结构并初始化服务 创建一个简单的 Express 应用来处理用户的注册、登录以及受保护路由的身份验证。 ##### 初始化文件 (`app.js`) ```javascript const express = require('express'); const bodyParser = require('body-parser'); const bcrypt = require('bcryptjs'); const jwt = require('jsonwebtoken'); // 配置中间件 const app = express(); app.use(bodyParser.json()); // 假设这是数据库中的用户数据(实际开发中应连接真实数据库) let users = []; // 密钥用于签名 JWT const SECRET_KEY = 'your_secret_key_here'; // 注册新用户 app.post('/register', async (req, res) => { try { const { username, password } = req.body; // 检查用户名是否存在 if (users.find(user => user.username === username)) { return res.status(409).send({ message: 'Username already exists!' }); } // 对密码进行哈希加密 const hashedPassword = await bcrypt.hash(password, 8); // 存储用户信息 const newUser = { username, password: hashedPassword }; users.push(newUser); res.send({ message: 'User registered successfully!', user: newUser }); } catch (error) { res.status(500).send({ message: error.message || 'Some error occurred while registering.' }); } }); // 用户登录 app.post('/login', async (req, res) => { try { const { username, password } = req.body; const user = users.find(u => u.username === username); if (!user) { return res.status(404).send({ message: 'User not found!' }); } // 验证密码是否匹配 const isMatched = await bcrypt.compare(password, user.password); if (!isMatched) { return res.status(401).send({ accessToken: null, message: 'Invalid Password!' }); } // 如果成功,则签发 JWT const token = jwt.sign({ id: user.id, username: user.username }, SECRET_KEY, { expiresIn: '1h' }); res.send({ message: 'Login successful!', accessToken: token, }); } catch (error) { res.status(500).send({ message: error.message || 'Some error occurred while logging in.' }); } }); // 受保护的路由 function authenticateToken(req, res, next) { const authHeader = req.headers['authorization']; const token = authHeader && authHeader.split(' ')[1]; if (!token) { return res.sendStatus(401); } jwt.verify(token, SECRET_KEY, (err, decoded) => { if (err) { return res.sendStatus(403); } req.user = decoded; // 将解码后的用户信息附加到请求对象上 next(); // 继续执行后续逻辑 }); } app.get('/protected-route', authenticateToken, (req, res) => { res.send(`Welcome ${req.user.username}! This route is protected.`); }); // 启动服务器 const PORT = process.env.PORT || 3000; app.listen(PORT, () => console.log(`Server running on port ${PORT}`)); ``` --- #### 示例解释 上述代码实现了以下几个核心功能: 1. **用户注册** 使用 `bcrypt` 来加密用户输入的密码,并将其保存在一个模拟数组中。如果用户名已存在,则返回错误消息[^3]。 2. **用户登录** 当用户提供有效的用户名和密码时,程序会通过 `bcrypt.compare()` 方法验证密码是否正确。如果验证成功,则生成一个带有过期时间的 JWT 并返回给客户端[^1]。 3. **受保护路由访问控制** 利用自定义中间件函数 `authenticateToken`,拦截对 `/protected-route` 路由的请求,检查是否有合法的 JWT 提供授权。如果没有提供有效令牌或者令牌无效,则拒绝访问[^2]。 --- #### 测试流程 1. 发送 POST 请求至 `/register` 接口完成用户注册操作。 2. 使用相同的账户发送 POST 请求至 `/login` 获取 JWT 访问令牌。 3. 在获取到的有效期内尝试 GET 请求访问 `/protected-route`,需携带 Authorization Header 设置为 Bearer `<access_token>` 形式。 ---
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值