Nodejs入门token校验之jsonwebtoken的使用
前言
token校验作为项目里的必要项,其重要性不言而喻,今天介绍一个在Node.js中备受推崇的神奇工具——jsonwebtoken
一、token是什么jsonwebtoken是什么?
在互联网世界中,Token是一种用于表示身份验证和授权的令牌。以jsonwebtoken为例,它生成的JWT就是一种Token。Token通常由服务器颁发给用户,并在用户进行身份验证后用于标识用户身份。当用户希望访问需要授权的资源时,Token就成为了一种凭证,用于证明用户的身份和权限。jsonwebtoken是一个用于在Node.js应用程序中创建和验证JSON Web Tokens(JWT)的库。JWT是一种轻量级的身份验证和授权机制,它使用JSON对象作为安全令牌,使得在客户端和服务器之间传递认证信息变得更加安全和可靠。
二、使用步骤
1.安装jsonwebtoken
安装jsonwebtoken非常简单。打开你node项目进入终端,输入以下命令:
npm install jsonwebtoken
2.生成秘钥
在使用jsonwebtoken之前,我们首先需要生成一个秘钥(secretKey),用于对JWT进行加密签名。秘钥的生成规则是非常重要的,以下是一个常用的生成规则示例:
const crypto = require('crypto');
const generateSecretKey = () => {
return crypto.randomBytes(32).toString('hex');
};
const secretKey = generateSecretKey();
console.log('Generated secret key: ', secretKey);
上述代码中,我们使用Node.js的crypto模块生成了一个具有足够强度的随机秘钥。这里我们生成了一个32字节的秘钥,并将其输出到控制台。请注意,生成的秘钥应妥善保存,避免泄露。
3.如何使用jsonwebtoken?
首先,你需要导入jsonwebtoken库:
const jwt = require('jsonwebtoken');
4.生成一个JWT
接下来,让我们来创建一个JWT。使用jsonwebtoken的
sign
方法可以帮助我们完成这个任务:
const payload = { user: 'John Doe' };
const secretKey = 'supersecretkey';
const token = jwt.sign(payload, secretKey);
console.log(token);
上面的代码中,我们定义了一个负载(payload)对象,它包含了我们想要在JWT中传递的信息。然后,我们提供了之前生成的秘钥(secretKey),用于对JWT进行加密签名。最后,我们使用jwt.sign
方法生成了一个JWT,并将其打印输出。
5.验证一个JWT
在验证阶段,jsonwebtoken会验证JWT的签名是否有效,并解析出负载中的数据。请注意,为了验证JWT的签名,我们需要使用相同的秘钥。
function verifyToken(req, res, next) {
const token = req.headers.token; // 从请求头中获取 token
if (!token) {
res.status(401).json({ code: 401,success: false, msg: "未登录或登录过期!" });
return;
}
jwt.verify(token, 'token', (err, decoded) => {
if (err) {
res.status(401).json({ code: 401,success: false, msg: "登录过期,请重新登录!" });
return;
}
req.userId = decoded.userId; // 将解码后的用户信息存储在请求对象中,以便后续接口使用
next();
});
}
在上述代码中,我们提供了一个JWT和之前生成的秘钥,然后使用jwt.verify
方法进行验证。如果验证成功,我们可以在回调函数中访问解码后的负载数据。
6.结合接口请求
jsonwebtoken也可以与接口请求结合使用,以实现身份验证和授权。
axios.get("https://api.example.com/info", verifyToken, (req, res, next) => {
const userId = req.userId;
pool.query("SELECT * FROM user WHERE id = ?", [userId], (err, result) => {
if (err) {
next(err);
return;
}
if (result.length > 0) {
const user = result[0];
res.json({ code: 200, success: true, msg: "查询用户信息成功", user });
} else {
res.json({ code: 500, success: false, msg: "用户不存在" });
}
});
在上述代码中,我们使用axios库发送了一个GET请求到'https://api.example.com/data'。通过在请求头中添加`Authorization`字段,并将JWT作为Bearer令牌附加在请求头上,我们可以将身份验证信息传递给API。如果身份验证成功,API将返回相应的数据。
总结
在本篇博客中,我们详细介绍了jsonwebtoken在Node.js中的使用。jsonwebtoken是一个强大而受欢迎的库,用于创建和验证JSON Web Tokens(JWT)。JWT是一种轻量级的身份验证和授权机制,通过使用JSON对象作为安全令牌,提高了在客户端和服务器之间传递认证信息的安全性和可靠性。