在express框架下使用jwt實現驗證。

原創 飛機 2019-08-24 15:55

在express框架下使用jwt實現驗證。

接着上遍文章(使用session保存用戶數據)來讓使用jwt保存用戶數據。
這裏會用到passport-jwt/jsonwebtoken
passport-jwt是passport的一個驗證策略。它使用jwt(json web token)驗證。
jsonwebtoken是一個編碼、解碼、驗證jwt的模塊。

使用jwt保存用戶數據與使用session保存用戶數據對比

session json web token
保存在server 保存在client

因session保存在server,所以服務器壓力比較大。聽說併發量達到1k時就能看到效果。
因jwt保存在client,所以需要加密。

使用jwt

1. 安裝依賴。

npm i passport-jwt jsonwebtoken

2. 創建一個配置文件,引用配置是使用。

// ./config.js
module.exports = {
    secretKey: '12345-67890-9876-54321',
    mongoUrl: 'mongodb://localhost:27017/confusion'
}

3. 使用數據庫鏈接配置

var config = require('./config')
...
const url = config.mongoUrl
const connet = mongoose.connect(url, {useNewUrlParse: true, useCreateIndex: true})

4. 創建驗證文件

./authenticate.js
var passport = require('passport'),
  LocalStrategy = require('passport-local').Strategy,
  User = require('./models/user')

var JwtStrategy = require('passport-jwt').Strategy,
  ExtractJwt = require('passport-jwt').ExtractJwt,
  jwt = require('jsonwebtoken')

var config = require('./config.js')

passport.use(new LocalStrategy(User.authenticate()))
passport.serializeUser(User.serializeUser())
passport.deserializeUser(User.deserializeUser())

exports.getToken = function (user) {
  return jwt.sign(user, config.secretKey, {expiresIn: 3600}) // 簽發token時設置超時時間是3600s
}

var opts = {}
opts.jwtFromRequest = ExtractJwt.fromAuthHeaderAsBearerToken() // 從驗證頭中提取,模型默認是`'bearer'`.
opts.secretOrKey = config.secretKey

exports.jwtPassport = passport.use(new JwtStrategy(opts, (jwt_payload, done) => {
  console.log('JWT payload: ', jwt_payload)
  User.findOne({_id: jwt_payload._id}, (err, user) => {
    if (err) {
      return done(err, false)
    } else {
      if (user) {
        return done(null, user)
      } else {
        return done(null, false)
      }
    }
  })
}))

exports.verifyUser = passport.authenticate('jwt', {session: false}) // 使用jwt就不再需要session保存用戶數據了。

5. 用戶申請登錄時把jwt給前端

// routes/users.js
...
var authenticate = require('../authticate')
router.post('/login', passport.authenticate('local'), (req, res) => { // 登錄時還是使用passport-local
    var token = authenticate.getToken({_id: req.user._id}) // 得到簽發後的jwt
    res.statusCode = 200
    res.setHeader('Content-Type', 'application/json')
    res.json({success: true, token: token, status: 'You are successful logged in!'})
})

6. 前端保存token

// use localStorage
$.ajax({
  type: 'post',
  dataType: 'json',
  url: 'users/login',
  data: {
    username: 'un',
    password: 'pw'
  },
  success: funciton (res) {
    localStorage.token = getToken(res)
    },
  error: funciton (err) {...}
})
// 還可以使用vux方法。
// 還可以使用封裝axios方法。

7. 用戶登錄超時

jsonwebtoken驗證jwt後,若結果不通過,會有3種錯誤類型。分別是
TokenExpiredError // 當token超時時拋出。

err = {
    name: 'TokenExpiredError',
    massage: 'jwt expired',
    expired: [ExpDate]
}

JsonWebTokenError
jwt錯誤

err = {
    name: 'JsonWebTokenError',
    message: 'jwt malformed' // 'jwt malformed', 'jwt signature in required', 'invalid signature', 'jwt audience invalid. expected: [OPTIONS AUDIENCE]', 'jwt issuer invalid. expected: [OPTIONS ISSUER]', 'jwt id invalid. expected:[OPTIONS JWT ID]', 'jwt subject invalid. expected: [OPTIONS SUBJECT]'
}

NotBeforeError
噹噹前時間超過nbf的值時拋出該錯誤。

err = {
    name: 'NotBeforeError',
    message: 'jwt not active',
    date: 2018-10-04T16:10:44.000Z
}

passport在驗證jwt不通過時(token過期也是一種不通過)自動向前端發送“狀態碼爲401,內容是Unauthorized”.
在使用passport/passport-jwt/jsonwebtoken時沒有發現處理token過期的方法。所以在使用passport-jwt驗證不通過時再寫一個驗證是否過期的方法。

// authenicate.js
...
export.verifyUser = passport.authenticate('jwt', {
  session: false,
  failureRedirect: '/error/auth' // 在這個路由裏統一處理驗證不通過的事情
  })
// routes/error.js
...
router.get('/auth', (req, res, next) => {
  let header = req.headers
  let rawToken = header.authorization
  if (!rawToken.split(' ').length) {
    res.json({ // 統一的數據結構方便前端使用
      code: 403,
      data: {},
      message: 'error for get token'
    })
  } else {
    let token = rawToken.split(' ')[1]
    jwt.verify(token, config.secretKey, err => { // 這裏用到jsonwebtoken/config。注意引用
      switch (err.name) {
        case 'TokenExpiredError':
        case 'NotBeforeError':
          let payload = jwt.decode(token)
          token = authenticate.getToken({_id: payload._id})
          res.statusCode = 200
          res.setHeader('Content-Type', 'application/json')
          res.json({success: true, token: token, status: '已經刷新token'})
          break
        case 'JsonWebTokenError':
        default:
          res.statusCode = 401
          res.json({
            code: 401,
            data: {
              error: err
            },
            message: 'token錯誤'
          })
          break
      }
      })
  }
  })

8. 用戶jwt驗證不通過

passport在驗證jwt不通過時(token過期也是一種不通過)自動向前端發送“狀態碼爲401,內容是Unauthorized”.

9. 用戶申請登出

在前端刪除token.

10. 不要打斷活動用戶的操作

在no.7裏若因爲token過期造成驗證不通過,則向前端返回了新的token。不是在不影響用戶操作前提下更新用戶的token的。下面在的總結的幾種不影響用戶操作的前提下更新用戶的token的方法。

  1. 前端設置一個定時器。在小於過期時間時向後端請求新token並保存起來。
  2. 把token放在cookie時。後端從cookie裏取出token,在過期前更新token。
  3. 將 token 存入 DB(如 Redis)中,失效則刪除;但增加了一個每次校驗時候都要先從 DB 中查詢 token 是否存在的步驟,而且違背了 JWT 的無狀態原則(這不就和 session 一樣了麼?)。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

昔日輝煌不再,PHP老矣,尚能飯否?

導語 | 近期 TIOBE 最新指數顯示,PHP 的流行度降至了歷史最低,排在第 17 名,同時,在年度 Stack Overflow 開發者調查報告中,PHP 在開發者中的受歡迎程度已經從之前的約 30% 萎縮至現在的 18%。“P

原創 2024-05-23 23:48:42

前端面試題 - Node JS與V8是什麼關係?

前端面試題 - Node JS與V8是什麼關係? V8 引擎是 Node.js 的核心組成部分,負責執行 JavaScript 代碼, 而 Node.js 爲 V8 提供了一個運行環境和API,使其能夠在服務器端運行。 通俗易懂的前端面試題

原創 2024-05-16 12:41:41

wps加載項初步開發

技術選型 應公司要求,在不連外網情況下,需要完成服務器文檔的預覽、編輯、上傳等功能。於是選用了wps客戶端的加載項開發。 參考資料: wps客戶端開發文檔 wps客戶端開發文檔 wps加載項demo地址 OA助手的場景示例來演示網頁端啓動

osc_rki80br3 2024-05-14 00:39:13

界面組件DevExpress中文教程 - 如何在Node.js應用中創建報表?

DevExpress Reporting是.NET Framework下功能完善的報表平臺,它附帶了易於使用的Visual Studio報表設計器和豐富的報表控件集,包括數據透視表、圖表,因此您可以構建無與倫比、信息清晰的報表。 獲取Dev

原創 2024-04-30 11:36:22

前端面試題 - NodeJS能用ES6模塊嗎?CommonJS 和 ES6模塊的區別是什麼?

前端面試題 - NodeJS能用ES6模塊嗎?CommonJS 和 ES6模塊的區別是什麼? JS能寫前端web,也能寫NodeJS。 Node.js 後端應用由模塊組成,其模塊系統採用 CommonJS 規範,它並不是 JavaScri

原創 2024-04-24 23:51:06

流水線運行出錯排查難?AI 來幫你

“我的企業有幾千條流水線,每次流水線運行出錯,都要投入不少的技術人員進去排查,需要花費不少的時間。” 遇到這種情況,怎麼解決。在 AI 爆火的今天,AI 如何助力 DevOps 效率提升? 雲效與阿里雲通義大模型合作,推出了流水線智能排查能

原創 2024-04-24 21:12:07

JSON Stream

1. 需求背景 在日常開發中經常會遇到大對象或者大文件處理, 比如在nodejs開發中, 一個算法包可能範圍了一個長度爲好幾萬長度的一個對象, 這個對象使用Restful API不好傳遞, 肯定會把這個處理結果保存爲文件, 然後通過通過文件

原創 2024-04-12 23:17:15

直觀易用的大模型開發框架LangChain,你會了沒?

目前LangChain框架在集團大模型接入手冊中的學習案例有限,爲了讓大家可以快速系統地瞭解LangChain大模型框架並開發,產出此文章。本文章包含了LangChain的簡介、基本組件和可跑的代碼案例(包含Embedding、Com

原創 2024-04-11 11:15:54

利用Node.js實現拉勾數據爬取

引言 拉勾網作爲中國領先的互聯網招聘平臺,彙集了豐富的職位信息,對於求職者和人力資源專業人士來說是一個寶貴的數據源。通過編寫網絡爬蟲程序,我們可以自動化地收集這些信息,爲求職決策和市場研究提供數據支持。Node.js以其非阻塞I/O和事

原創 2024-04-01 23:25:54

Spring Security 註冊過濾器注意事項

前兩天和小夥伴聊了 Spring Security+JWT 實現無狀態登錄,然後有小夥伴反饋了一個問題,感覺這是一個我們平時寫代碼容易忽略的問題,寫一篇文章和小夥伴們聊一聊。 一 問題復原 先來說問題吧,在 Spring Security+

原創 2024-06-04 03:48:39

JWT 簽名用對稱加密還是非對稱加密?

一 概念梳理 對稱加密和非對稱加密是兩種基本的加密方法,它們在現代密碼學中扮演着核心角色,用於保護數據的安全和隱私。 1.1 對稱加密(Symmetric Encryption) 對稱加密是指加密和解密使用同一個密鑰的過程。這意味着發送方和

原創 2024-06-03 13:17:51

go-kit學習指南 - 中間件

原文:https://blog.fengjx.com/pages/d6f092 介紹 go-kit的分層設計可以看成是一個洋蔥,有許多層。這些層可以劃分爲我們的三個領域。 Service: 最內部的服務領域是基於你特定服務定義的,也是

原創 2024-05-14 12:17:31

Higress 全新 Wasm 運行時,性能大幅提升

本文作者: 澄潭,阿里雲 API 網關軟件工程師,Higress 開源項目主要貢獻者 何良,Intel Web Platform Engineering 軟件工程師,WAMR 開源項目主要貢獻者 本文介紹 Higress 將 Wasm 插件

原創 2024-04-15 21:12:23

雲原生最佳實踐系列 6:MSE 雲原生網關使用 JWT 進行認證鑑權

方案概述 MSE 網關可以爲後端服務提供轉發路由能力,在此基礎上,一些敏感的後端服務需要特定認證授權的用戶才能夠訪問。MSE 雲原生網關致力於提供給雲上用戶體系化的安全解決方案,其中 JWT 認證能力是在 Json Web Token 這種

原創 2024-04-01 21:12:23

雲原生最佳實踐系列 7:基於 OSS Object FC 實現非結構化文件實時處理

方案概述 現在絕大多數客戶都有很多非結構化的數據存在 OSS 中,以圖片,視頻,音頻居多。舉一個圖片處理的場景,現在各種終端種類繁多,不同的終端對圖片的格式、分辨率要求也不同,所以一張圖片往往會有很多張衍生圖,那如果所有的衍生圖都存在 OS

原創 2024-04-01 21:12:15