在Nodejs中使用JWT做用戶認證

前后端分離后,后端只承擔(dān)api的功能,傳統(tǒng)的使用session的認證方法帶來很大的不便:例如移動端app和PC端不能共用cookie等。

下面實例在node中用JWT做用戶認證
首先我們使用JWT simple這個庫區(qū)處理JWT的加密問題

npm install --save jwt-simple

var express = require('express');
var jwt = require('jwt-simple');
var app = express();
//設(shè)置密鑰
app.set('jwtTokenSecret', 'YOUR_SCRET_STRING');

首先第一件事是讓客戶端通過賬號密碼交換token,可以使用post,此處假設(shè)已經(jīng)得到了用戶名和密碼。

制造token

驗證用戶名和密碼通過后,返回一個包含JWT的響應(yīng)。

var expires = moment().add('days', 7).valueOf();
var token = jwt.encode({
        iss: user.id,
        exp: expires,
    }, app.get('jwtTokenSecret));

res.json({
        token: token,
        expires: expires,
        user: user.toJSON()
    })
檢驗token

為了驗證JWT,我們需要寫出一些可以完成這些功能的中間件:

  • 檢查附上的token
  • 解密
  • 驗證token的可用性
  • 如果token是合法的,檢索里面的用戶,以及附加到請求的對象上。

我們來寫一個中間件的框架

var UserModel = require('../models/user');
var jwt = require('jwt-simple');

module.exports = function(req, res, next) {
  //todo
}

為了獲得最大的可拓展性,我們允許客戶端使用三個方法附加我們的token:

  1. 作為請求鏈接的參數(shù)(query)
  2. 作為主體的參數(shù)(body)
  3. 作為請求頭的參數(shù)(Header)(使用x-access-token)

下面是試圖檢索token的代碼

var token = (req.body && req.body.access_token) || (req.query && req.query.access_token) || req.header['x-access-token']

注意訪問req.body首先需要引入express.bodyParser()中間件

解析token

獲得token后,開始解析

 if (token) {
        try {
            var decoded = jwt.decode(token, app.get('jwtTokenSecret'));
            //todo  handle token here
        } catch (err) {
            return next()
        }
    } else {
        next()
    }

如果解析失敗,我們使用next跳過路由,這代表我們無法確定用戶合法性。
如果解析成功,我們獲得兩個屬性, iss包含用戶ID,exp包含過期時間。我們先處理后者,如果它過期了,直接拒絕。

if( decoded.exp <= Date.now()) {
  res.end('Access token has expired', 400)
}

如果token合法,我們可以從中檢索出用戶信息,并且附加到請求對象上面去:

User.findOne({ _id: decoded.iss }, function(err, user) {
  req.user = user;
})

最后將這個中間件附加到路由里面:

var jwtauth = require('./jwtauth.js')
app.get('/something', [express.bodyParser(), jwtauth], function(req, res){
  //do something
})

或者匹配一些路由

app.all('/api/*',[express.bodyParser(), jwtauth])

客戶端部分

客戶端再第一次獲得token后,可以存儲在localStorage中,請求的時候發(fā)出token

var token = window.localStorage.getItem('token');

if (token) {
  $.ajaxSetup({
    headers: {
      'x-access-token': token
    }
  });
}
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理,服務(wù)發(fā)現(xiàn),斷路器,智...
    卡卡羅2017閱讀 136,502評論 19 139
  • 原文地址:http://angularjs.blogspot.ca/2016/11/easy-angular-au...
    MarxJiao閱讀 3,179評論 0 11
  • 昨天我寫了一篇《<北京折疊>折疊發(fā)生在每一天》,又在論壇上和別人打了好幾個回合的嘴架,我就《北京折疊》再說兩句。 ...
    老老老老老大哥閱讀 617評論 0 1
  • 剛結(jié)婚時年輕,他們經(jīng)常吵架,一吵架她就不讓他上床,讓他去睡沙發(fā)。一般都是到不了半夜,他就摸到床上,向她認錯賠禮道歉...
    第四劍閱讀 388評論 0 0
  • 人生百態(tài),我們也只經(jīng)歷了一種。去年春節(jié)前幾天去廣州,在城軌等進站的時候,一位清潔阿姨看見我,說我長得跟她剛才碰見的...
    扎著馬尾去看海閱讀 241評論 0 1

友情鏈接更多精彩內(nèi)容