快捷導(dǎo)航

node.js中實(shí)現(xiàn)token的生成與驗(yàn)證的操作方法

更新時(shí)間：2025年01月13日 09:55:38 作者：小灰灰學(xué)編程

Token是一種用于在客戶端和服務(wù)器之間安全傳輸信息的加密字符串,常用于身份驗(yàn)證、授權(quán)、狀態(tài)管理和安全性,在Node.js中,常用jsonwebtoken庫(kù)生成和驗(yàn)證Token,本文介紹node.js中實(shí)現(xiàn)token的生成與驗(yàn)證的操作方法,感興趣的朋友一起看看吧

作用與意義

身份驗(yàn)證：Token可以用來(lái)驗(yàn)證用戶的身份，確保用戶已經(jīng)通過(guò)認(rèn)證流程。
授權(quán)：通過(guò)Token，服務(wù)器可以識(shí)別用戶的權(quán)限，從而允許或拒絕訪問(wèn)特定的資源。
狀態(tài)管理：在無(wú)狀態(tài)（stateless）的API設(shè)計(jì)中，Token可以攜帶用戶的狀態(tài)信息，而不需要在服務(wù)器端存儲(chǔ)會(huì)話數(shù)據(jù)。
安全性：Token通常包含加密信息，可以有效防止CSRF（跨站請(qǐng)求偽造）和XSS（跨站腳本攻擊）等安全威脅

在Node.js中生成與驗(yàn)證Token

在Node.js中，常用的庫(kù)是jsonwebtoken（JWT），它提供了一種簡(jiǎn)單的方式來(lái)生成和驗(yàn)證JSON Web Tokens。

安裝依賴

首先，你需要安裝jsonwebtoken庫(kù)：

npm install jsonwebtoken

生成Token

下面是一個(gè)生成Token的示例：

const jwt = require('jsonwebtoken');
// 秘鑰（請(qǐng)確保在實(shí)際應(yīng)用中妥善保管）
const secretKey = 'your_secret_key';
// 用戶數(shù)據(jù)（可以包含用戶ID、用戶名等信息）
const userData = {
  id: 1,
  username: 'exampleUser'
};
// 生成Token
const token = jwt.sign(userData, secretKey, { expiresIn: '1h' }); // 1小時(shí)后過(guò)期
console.log('Generated Token:', token);

驗(yàn)證Token

下面是一個(gè)驗(yàn)證Token的示例：

const jwt = require('jsonwebtoken');
// 秘鑰（與生成Token時(shí)使用的秘鑰相同）
const secretKey = 'your_secret_key';
// 假設(shè)這是從客戶端接收到的Token
const receivedToken = 'your_received_token_here';
jwt.verify(receivedToken, secretKey, (err, decoded) => {
  if (err) {
    // Token無(wú)效或已過(guò)期
    console.error('Token is invalid or expired:', err.message);
    return;
  }
  // Token有效，decoded包含生成Token時(shí)傳遞的用戶數(shù)據(jù)
  console.log('Decoded Token:', decoded);
  // 在這里處理用戶請(qǐng)求，例如根據(jù)decoded.id獲取用戶信息
});

完整過(guò)程示例

下面是一個(gè)完整的示例，包括生成Token和驗(yàn)證Token的過(guò)程：

const express = require('express');
const jwt = require('jsonwebtoken');
const bodyParser = require('body-parser');
const app = express();
const port = 3000;
// 秘鑰（請(qǐng)確保在實(shí)際應(yīng)用中妥善保管）
const secretKey = 'your_secret_key';
// 中間件：解析JSON請(qǐng)求體
app.use(bodyParser.json());
// 路由：生成Token
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  // 在這里進(jìn)行用戶名和密碼的驗(yàn)證（示例中省略）
  // 假設(shè)驗(yàn)證成功，生成Token
  if (username === 'exampleUser' && password === 'examplePass') {
    const userData = {
      id: 1,
      username: 'exampleUser'
    };
    const token = jwt.sign(userData, secretKey, { expiresIn: '1h' });
    res.json({ token });
  } else {
    res.status(401).json({ message: 'Invalid credentials' });
  }
});
// 路由：受保護(hù)的資源
app.get('/protected', (req, res) => {
  const token = req.headers['authorization'] && req.headers['authorization'].split(' ')[1];
  if (!token) {
    return res.status(401).json({ message: 'No token provided' });
  }
  jwt.verify(token, secretKey, (err, decoded) => {
    if (err) {
      return res.status(403).json({ message: 'Token is invalid or expired' });
    }
    // Token有效，返回受保護(hù)的數(shù)據(jù)
    res.json({ message: 'Welcome to the protected route', user: decoded });
  });
});
app.listen(port, () => {
  console.log(`Server is running on http://localhost:${port}`);
});

使用方法

1、啟動(dòng)服務(wù)器：

node app.js

2、使用POST請(qǐng)求訪問(wèn)/login路由，提供用戶名和密碼（示例中為exampleUser和examplePass），獲取生成的Token。

3、使用GET請(qǐng)求訪問(wèn)/protected路由，并在請(qǐng)求頭中提供Authorization字段，值為Bearer加上空格再加上Token。

到此這篇關(guān)于node.js中實(shí)現(xiàn)token的生成與驗(yàn)證的文章就介紹到這了,更多相關(guān)node.js token生成與驗(yàn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: