Express框架是一款快速、开放、极简的Web应用程序开发框架,而JWT(JSON Web Token)是一种用于身份验证的标准,它使用JSON作为数据载体,并使用数字签名保证数据在传输过程中不被篡改。在Express框架中使用JWT来实现验证,可以有效提升Web应用程序的安全性。下面是详细的攻略:
1. 安装jsonwebtoken包
使用npm安装jsonwebtoken包,该包是实现JWT的基础包:
npm install jsonwebtoken --save
2. 在Express应用程序中引入jsonwebtoken包
const jwt = require('jsonwebtoken');
3. 编写一个登录API
编写一个登录API,该API接收用户输入的用户名和密码,并且验证通过后生成一个JWT token。示例代码如下:
app.post('/login', (req, res) => {
const { username, password } = req.body;
// 在此处验证用户名和密码,如果验证通过就生成JWT token
if (username === 'admin' && password === '123456') {
const payload = {
username: 'admin'
// 在这里可以添加其他需要存储在token中的信息
};
const token = jwt.sign(payload, 'secret', { expiresIn: 60 * 60 });
res.json({ code: 0, message: '登录成功', data: { token } });
} else {
res.json({ code: -1, message: '用户名或密码错误' });
}
});
这段代码中使用jsonwebtoken的sign方法生成token,第一个参数是需要存储在token中的信息,第二个参数是加密算法使用的密钥,通常建议将密钥存储在环境变量中而非硬编码在程序中,第三个参数是token的有效期,单位是秒。
4. 编写一个中间件检验JWT token
在Express应用程序中编写一个中间件,该中间件的作用是检验JWT token的合法性。示例代码如下:
function verifyToken(req, res, next) {
const token = req.headers.authorization;
if (!token) {
return res.status(403).json({ code: -1, message: '请登录后再进行操作' });
}
jwt.verify(token, 'secret', (err, decoded) => {
if (err) {
return res.status(500).json({ code: -1, message: 'token验证失败' });
}
req.user = decoded;
next();
});
}
这段代码中使用jsonwebtoken的verify方法来验证token的合法性,如果验证通过就在req对象上添加user属性,表示当前用户已经登陆。如果验证失败就返回错误信息。
5. 编写一个需要验证的API
编写一个需要验证的API,该API需要使用第4步生成的验证中间件来验证当前用户是否已登录。示例代码如下:
app.get('/profile', verifyToken, (req, res) => {
res.json({ code: 0, message: '获取个人信息成功', data: { username: req.user.username } });
});
这段代码中使用了第4步实现的verifyToken中间件来验证当前用户是否已经登录,如果登录了就返回当前用户的个人信息。
这就是使用Express框架中使用JWT实现验证的完整攻略,下面是更详细的步骤说明:
- 安装jsonwebtoken包
- 在Express应用程序中引入jsonwebtoken包
- 编写一个登录API,生成JWT token
- 编写一个中间件检验JWT token
- 编写一个需要验证的API,并在其中使用第四步实现的中间件来验证当前用户是否已登录。
建议在使用该方法时,将jwt密钥和有效期存储在配置文件或者环境变量中,避免硬编码。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:express框架中使用jwt实现验证的方法 - Python技术站
微信扫一扫 
支付宝扫一扫 