在 Web 应用程序中创建和保护 JWT 身份验证
介绍
JSON Web 令牌 (JWT) 是一种紧凑且独立的方式,可将信息作为 JSON 对象在各方之间安全传输。 JWT 广泛用于对 Web 应用程序中的用户进行身份验证。在本教程中,我们将使用 JWT 身份验证构建 Node.js 和 Express 后端。
什么是智威汤逊?
JWT(JSON Web Token)是一种开放标准,用于以 JSON 对象的形式在各方之间安全地传输信息。每个令牌由三部分组成:
- 标头:包含有关令牌类型和哈希算法的信息。
- 有效负载:包含用户信息和声明。
- 签名:验证令牌的完整性。
示例 JWT
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiIxMjM0IiwidXNlcm5hbWUiOiJqb2huZG9lIn0.H6BBiB1y5eXKXvW9bbjT2Rg8Jp4oE4Y5Kxf_sDF7Kzg
设置项目
-
创建一个新的项目目录:
mkdir jwt-auth-app cd jwt-auth-app
登录后复制 -
初始化一个新的 Node.js 项目:
npm init -y
登录后复制
安装依赖项
安装必要的依赖项:
npm install express jsonwebtoken bcryptjs dotenv express-validator
- express:Node.js 的 Web 框架。
- jsonwebtoken:用于生成和验证 JWT 的库。
- bcryptjs:用于哈希密码的库。
- dotenv:用于环境变量。
- express-validator:用于验证输入数据。
配置服务器
在 server.js 中创建基本服务器设置:
// server.js
require('dotenv').config();
const express = require('express');
const app = express();
app.use(express.json());
// Import Routes
const authRoutes = require('./routes/auth');
app.use('/api/auth', authRoutes);
const PORT = process.env.PORT || 5000;
app.listen(PORT, () => console.log(`Server running on port ${PORT}`));
创建.env文件用于存储环境变量:
PORT=5000 JWT_SECRET=your_jwt_secret_key
创建用户认证路由
- 为身份验证路由创建routes/auth.js文件:
// routes/auth.js
const express = require('express');
const { body, validationResult } = require('express-validator');
const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');
const router = express.Router();
const users = []; // In-memory user storage
// Signup Route
router.post(
'/signup',
[
body('username').isLength({ min: 3 }),
body('password').isLength({ min: 5 })
],
async (req, res) => {
const errors = validationResult(req);
if (!errors.isEmpty()) return res.status(400).json({ errors: errors.array() });
const { username, password } = req.body;
const hashedPassword = await bcrypt.hash(password, 10);
users.push({ username, password: hashedPassword });
res.status(201).json({ message: 'User registered successfully' });
}
);
// Login Route
router.post(
'/login',
[
body('username').notEmpty(),
body('password').notEmpty()
],
async (req, res) => {
const errors = validationResult(req);
if (!errors.isEmpty()) return res.status(400).json({ errors: errors.array() });
const { username, password } = req.body;
const user = users.find(u => u.username === username);
if (!user) return res.status(400).json({ message: 'Invalid credentials' });
const isMatch = await bcrypt.compare(password, user.password);
if (!isMatch) return res.status(400).json({ message: 'Invalid credentials' });
const token = jwt.sign({ username }, process.env.JWT_SECRET, { expiresIn: '1h' });
res.json({ token });
}
);
module.exports = router;
- 路线说明
- 注册路线:在存储用户之前验证并散列密码。
- 登录路由:验证凭据、检查密码并颁发 JWT 令牌。
生成 JWT 令牌
- jwt.sign 方法生成一个包含用户信息的令牌。
- JWT_SECRET 用于签署令牌,应保持安全和私密。
const token = jwt.sign({ username }, process.env.JWT_SECRET, { expiresIn: '1h' });
使用 JWT 保护路由
为了保护路由,请创建一个中间件来验证令牌。
- 创建中间件/auth.js:
// middleware/auth.js
const jwt = require('jsonwebtoken');
module.exports = function (req, res, next) {
const token = req.header('Authorization')?.split(' ')[1];
if (!token) return res.status(401).json({ message: 'Access denied' });
try {
const decoded = jwt.verify(token, process.env.JWT_SECRET);
req.user = decoded;
next();
} catch (ex) {
res.status(400).json({ message: 'Invalid token' });
}
};
- 保护 server.js 中的路由:
创建需要有效令牌的受保护路由:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiIxMjM0IiwidXNlcm5hbWUiOiJqb2huZG9lIn0.H6BBiB1y5eXKXvW9bbjT2Rg8Jp4oE4Y5Kxf_sDF7Kzg
中间件说明
- 中间件检查授权标头中是否存在令牌。
- 如果令牌有效,则用户的信息将添加到 req 对象中,从而允许访问受保护的路由。
结论
在本教程中,我们介绍了在 Node.js 和 Express 后端设置 JWT 身份验证的基础知识。本指南演示了:
- 设置注册和登录的身份验证路由。
- 创建和验证 JWT 令牌。
- 使用基于 JWT 的中间件保护路由。
JWT 是一种处理身份验证的强大方法,使您的 Web 应用程序既安全又可扩展。
以上是在 Web 应用程序中创建和保护 JWT 身份验证的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
神秘的JavaScript:它的作用以及为什么重要
Apr 09, 2025 am 12:07 AM
JavaScript是现代Web开发的基石,它的主要功能包括事件驱动编程、动态内容生成和异步编程。1)事件驱动编程允许网页根据用户操作动态变化。2)动态内容生成使得页面内容可以根据条件调整。3)异步编程确保用户界面不被阻塞。JavaScript广泛应用于网页交互、单页面应用和服务器端开发,极大地提升了用户体验和跨平台开发的灵活性。
JavaScript的演变:当前的趋势和未来前景
Apr 10, 2025 am 09:33 AM
JavaScript的最新趋势包括TypeScript的崛起、现代框架和库的流行以及WebAssembly的应用。未来前景涵盖更强大的类型系统、服务器端JavaScript的发展、人工智能和机器学习的扩展以及物联网和边缘计算的潜力。
JavaScript引擎:比较实施
Apr 13, 2025 am 12:05 AM
不同JavaScript引擎在解析和执行JavaScript代码时,效果会有所不同,因为每个引擎的实现原理和优化策略各有差异。1.词法分析:将源码转换为词法单元。2.语法分析:生成抽象语法树。3.优化和编译:通过JIT编译器生成机器码。4.执行:运行机器码。V8引擎通过即时编译和隐藏类优化,SpiderMonkey使用类型推断系统,导致在相同代码上的性能表现不同。
Python vs. JavaScript:学习曲线和易用性
Apr 16, 2025 am 12:12 AM
Python更适合初学者,学习曲线平缓,语法简洁;JavaScript适合前端开发,学习曲线较陡,语法灵活。1.Python语法直观,适用于数据科学和后端开发。2.JavaScript灵活,广泛用于前端和服务器端编程。
JavaScript:探索网络语言的多功能性
Apr 11, 2025 am 12:01 AM
JavaScript是现代Web开发的核心语言,因其多样性和灵活性而广泛应用。1)前端开发:通过DOM操作和现代框架(如React、Vue.js、Angular)构建动态网页和单页面应用。2)服务器端开发:Node.js利用非阻塞I/O模型处理高并发和实时应用。3)移动和桌面应用开发:通过ReactNative和Electron实现跨平台开发,提高开发效率。
如何使用Next.js(前端集成)构建多租户SaaS应用程序
Apr 11, 2025 am 08:22 AM
本文展示了与许可证确保的后端的前端集成,并使用Next.js构建功能性Edtech SaaS应用程序。 前端获取用户权限以控制UI的可见性并确保API要求遵守角色库
使用Next.js(后端集成)构建多租户SaaS应用程序
Apr 11, 2025 am 08:23 AM
我使用您的日常技术工具构建了功能性的多租户SaaS应用程序(一个Edtech应用程序),您可以做同样的事情。 首先,什么是多租户SaaS应用程序? 多租户SaaS应用程序可让您从唱歌中为多个客户提供服务
从C/C到JavaScript:所有工作方式
Apr 14, 2025 am 12:05 AM
从C/C 转向JavaScript需要适应动态类型、垃圾回收和异步编程等特点。1)C/C 是静态类型语言,需手动管理内存,而JavaScript是动态类型,垃圾回收自动处理。2)C/C 需编译成机器码,JavaScript则为解释型语言。3)JavaScript引入闭包、原型链和Promise等概念,增强了灵活性和异步编程能力。
