欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 新闻 > 国际 > Node.js中JWT的token完整生命周期管理:从生成到销毁

Node.js中JWT的token完整生命周期管理:从生成到销毁

2024/12/27 11:51:02 来源:https://blog.csdn.net/x15514104477/article/details/144238879  浏览:    关键词:Node.js中JWT的token完整生命周期管理:从生成到销毁

Node.js中JWT的token完整生命周期管理:从生成到销毁

在Node.js中使用JWT(JSON Web Token)进行身份验证和授权是一种常见的实践。下面详细介绍JWT从生成到销毁的过程。

JWT生成

安装jsonwebtoken库

要生成JWT,首先需要安装jsonwebtoken库。通过运行以下命令来安装:

npm install jsonwebtoken

创建JWT

在Node.js中生成JWT(JSON Web Token)的过程涉及几个关键步骤,下面将详细介绍这些步骤和相关的技术细节。

1. Header(头部)

JWT的头部通常由两部分组成:令牌的类型(typ)和所使用的签名算法(alg)。例如,对于HS256算法,头部可能如下所示:

{"alg": "HS256","typ": "JWT"
}

这个JSON对象需要被Base64Url编码,以形成JWT的第一个部分

2. Payload(负载)

负载部分包含了所谓的“声明”(Claims),这些是关于实体(通常是用户)和其他数据的陈述。声明分为三类:注册的声明、公共的声明和私有的声明。例如:

{"sub": "1234567890","name": "John Doe","admin": true
}

这个JSON对象同样需要被Base64Url编码,以形成JWT的第二部分

3. Signature(签名)

签名是使用Header中指定的签名算法和密钥(Secret)对Header和Payload的编码字符串进行签名的结果。这个过程确保了JWT的完整性和真实性。签名的生成公式如下:

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

这个签名是JWT的第三部分,并且是验证JWT有效性的关键。

4. 组合Header、Payload和Signature

最终,将编码后的Header、Payload和生成的Signature用点(.)连接起来,形成完整的JWT字符串

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
5. 使用jsonwebtoken库生成JWT

在Node.js中,可以使用jsonwebtoken库来简化JWT的生成过程。以下是一个基本示例:

const jwt = require('jsonwebtoken');
const token = jwt.sign({id: 1,username: 'admin'},'secret', // 自定义密钥{expiresIn: '1h' // 过期时间}
);
console.log(token);

在这个示例中,我们使用jwt.sign方法,传入负载(包含用户信息)、密钥和签名选项(如过期时间)来生成JWT。

通过这些步骤,你可以在Node.js应用中生成JWT,用于身份验证和信息交换。生成的JWT可以被客户端存储和使用,直到它过期或被服务器端撤销。

JWT验证

在Node.js中验证JWT的过程涉及几个关键步骤,以下是详细的验证方法:

1. 验证JWT

服务器收到JWT后,需要验证其真实性。使用以下代码验证JWT:

const jwt = require('jsonwebtoken');
const token = 'your-jwt-token';
const secretKey = 'your-secret-key';try {const decoded = jwt.verify(token, secretKey);console.log(decoded);
} catch (error) {console.error('JWT verification failed');
}

在这个过程中,jwt.verify方法会使用提供的secretKey来验证JWT的签名。如果签名验证成功,它会返回JWT的Payload部分,否则会抛出错误。

2. 创建JWT验证中间件

在Express.js中,你可以创建JWT验证中间件来保护特定路由。以下是一个示例:

const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';function authenticateToken(req, res, next) {const token = req.header('Authorization');if (!token) return res.status(401).send('Access denied');try {const decoded = jwt.verify(token, secretKey);req.user = decoded;next();} catch (error) {res.status(403).send('Invalid token');}
}

这个中间件函数authenticateToken会检查HTTP请求头中的Authorization字段是否包含JWT。如果JWT存在,它会尝试验证JWT的有效性。如果验证成功,decoded对象(包含JWT的Payload)会被附加到req.user上,以便在后续的请求处理中使用。如果验证失败,会返回403错误。

3. 应用中间件保护路由

你可以将authenticateToken中间件应用到需要保护的路由上,以确保只有验证通过的用户才能访问:

app.get('/protected', authenticateToken, (req, res) => {res.json({ message: 'This is a protected route', user: req.user });
});

在这个例子中,任何尝试访问/protected路由的请求都必须通过authenticateToken中间件的验证。

4. 安全提示

  • 安全存储密钥:密钥是JWT的关键部分,应安全存储。不要硬编码密钥,最好从环境变量或配置文件中读取。
  • 定期刷新令牌:为JWT设置适当的到期时间,以降低安全风险。客户端应定期获取新的JWT令牌。
  • 不要在JWT中存储敏感信息:避免在JWT中存储敏感信息,因为JWT可以被解码。如果需要存储敏感信息,应使用加密而不是签名。

通过这些步骤,你可以在Node.js应用中实现JWT的验证,确保只有持有有效JWT的用户才能访问受限资源。

JWT销毁

客户端销毁

客户端通常负责销毁存储在本地的JWT,例如在浏览器中清除localStorage或sessionStorage中的token,但是这种方法通常不保险,还需要在后端彻底将推出的jwt销毁。这可以通过设置cookie过期时间来实现:

res.cookie('token', 'none', {expires: new Date(Date.now()),
})

服务端销毁

由于只在服务端删除浏览器中的localStorage不保险,所以子在服务端也要进行类似的操作,将已经生成的token删除掉。结合本人已经做过的项目代码进行一步步讲解:

1.创建一个tokenmanage表

这个表用来存储每一个登录的账号的登录时间(请求登录接口时候的登录时间)、过期时间(你token设置的过期时间)、用户账号(生成这个token对应的账号,对应用户表的account)

SET FOREIGN_KEY_CHECKS=0;-- ----------------------------
-- Table structure for `tokenmanage`
-- ----------------------------
DROP TABLE IF EXISTS `tokenmanage`;
CREATE TABLE `tokenmanage` (`id` int(8) NOT NULL AUTO_INCREMENT,`token` varchar(255) DEFAULT NULL,`logintime` varchar(255) DEFAULT NULL COMMENT '登录时间',`expiretime` varchar(255) DEFAULT NULL COMMENT '过期时间',`useraccount` varchar(255) DEFAULT NULL COMMENT '用户账号',PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf32;
2. user表加字段
SET FOREIGN_KEY_CHECKS=0;-- ----------------------------
-- Table structure for `users`
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (`id` int(8) NOT NULL AUTO_INCREMENT,`account` varchar(30) DEFAULT NULL,`pwd` varchar(30) DEFAULT NULL,`utype` int(1) DEFAULT NULL COMMENT '类型',`status` tinyint(1) DEFAULT '1' COMMENT '状态:1 正常  0删除',`ctime` varchar(30) DEFAULT NULL COMMENT '创建时间,时间戳',`pfcollege` varchar(30) DEFAULT NULL,`pfgrade` varchar(10) DEFAULT NULL,`pfspeciality` varchar(10) DEFAULT NULL,`pfpart` tinyint(1) DEFAULT NULL,`uname` varchar(10) DEFAULT NULL,`picture` varchar(100) DEFAULT NULL,`logintime` varchar(30) DEFAULT NULL COMMENT '登录时间', PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=36 DEFAULT CHARSET=utf32;
2.登录接口处理

所需模块:

var express = require('express')
var router = express.Router()
var mysql = require('mysql')
// 生成token
const webjwt = require('jsonwebtoken')//  从db文件中导入的数据库模块
var mysql = require("../db/mysql")

登录接口代码:

// 登录接口
router.get('/login', function (req, response) {var body = req.query;console.log(req.query);let { mobile, pwd } = body;console.log(mobile, pwd);// 先查询账号是否存在mysql.query('SELECT account, id, logintime FROM users WHERE account = ?', [mobile], function (error, results) {if (error) {console.log(error);response.json({ code: 1, msg: '数据库查询错误' });return;}if (results.length > 0) {// 如果账号存在的话继续查询账号密码mysql.query('SELECT account, id FROM users WHERE account = ? AND pwd = ?', [mobile, pwd], function (error, results) {if (error) {console.log(error);response.json({ code: 1, msg: '数据库查询错误' });return;}if (results.length > 0) {let user = results[0];// 更新登录时间let now = new Date().getTime(); // 获取当前时间的时间戳,以毫秒为单位mysql.query('UPDATE users SET logintime = ? WHERE id = ?', [now, user.id], function (error, updateResults) {if (error) {console.log(error);response.json({ code: 1, msg: '数据库更新错误' });return;}// 注意默认情况 Token 必须以 Bearer+空格 开头const token = 'Bearer ' + webjwt.sign({uid: user.id,account: user.account},'pwdxpx',{expiresIn: 3600 * 24 * 2// expiresIn: 1 * 60});let threeDaysLater = now + 2 * 24 * 60 * 60 * 1000; // 计算三天后的时间戳// let threeDaysLater = now + 1 * 60 * 1000;// 检查tokenManage表中是否存在对应的useraccount记录,看看这个用户是否登录过mysql.query('SELECT token,logintime,expiretime FROM tokenmanage WHERE useraccount = ?',[user.account],function (error, tokenResults) {console.log(tokenResults[0].logintime, typeof (tokenResults[0].expiretime))if (error) {console.log(error);response.json({ code: 1, msg: '数据库查询错误' });return;}if (tokenResults.length > 0) {// 如果当前账号存在token,那就判断登录时间是否超过了过期时间,// 如果登录token已经过期了,那就删除当前记录if (Number(tokenResults[0].logintime) > Number(tokenResults[0].expiretime)) {// 删除+插入添加/* mysql.query("DELETE FROM tokenmanage WHERE useraccount = ?", [user.account], (error, resultsexpire) => {if (error) console.log(error)console.log("token 验证已经过期了,接下来重新添加")})mysql.query('INSERT INTO tokenmanage (token, logintime, expiretime, useraccount) VALUES (?, ?, ?, ?)',[token, now, threeDaysLater, user.account],function (error, insertTokenResults) {if (error) {console.log(error);} else {console.log("token表添加成功!");}});*/// 直接更新 ~~删除+插入添加mysql.query("UPDATE tokenmanage SET token = ?, logintime = ?, expiretime = ?, useraccount = ?",[token, now, threeDaysLater, user.account],(error, updatetokenResults) => {if (error) {console.log(error);} else {console.log("token表更新成功!");response.json({code: 0, msg: "验证更新-登录完成",data: {userid: user.id,user_account: mobile,status: 'ok',token: token}});}})} else {// 如果登录token没有过期了,那就更新当前记录的登录时间改为最新的时间mysql.query('UPDATE tokenmanage SET logintime = ? WHERE useraccount = ?',[now, user.account],function (error, updateTokenResults) {if (error) {console.log(error);} else {console.log("token表的登录时间更新成功!");}});response.json({code: 0, msg: "登录完成",data: {userid: user.id,user_account: mobile,status: 'ok',token: tokenResults[0].token}});}} else {// 如果当前账号不存在token,那就插入一条新记录mysql.query('INSERT INTO tokenManage (token, logintime, expiretime, useraccount) VALUES (?, ?, ?, ?)',[token, now, threeDaysLater, user.account],function (error, insertTokenResults) {if (error) {console.log(error);} else {console.log("token表添加成功!");}});// 账号密码一致则返回用户需要的数据response.json({code: 0, msg: "登录完成",data: {userid: user.id,user_account: mobile,status: 'ok',token: token}});}});});} else {response.json({code: 1,msg: '用户名或密码不正确',});}});} else {// 账号不存在则提示:账号不存在,请输入正确的账号response.send({ code: 1, msg: '账号不存在,请输入正确的账号' });}});
});
3. 退出接口处理
// 退出接口
router.get('/logout', function (req, res, next) {// 从请求头中获取Authorization字段,并提取tokenconst authHeader = req.headers.authorization;const token = authHeader ? authHeader.split(' ')[1] : null; // 提取tokenif (!token) {return res.status(401).json({ msg: "未提供有效的token", code: 401 });}console.log(token);// 先通过请求头中提供的token,去数据表中根据token字段查找是否存在该记录let sqltoken = `SELECT useraccount, logintime, expiretime FROM tokenmanage WHERE token = ?`;mysql.query(sqltoken, [token], (error, results) => {if (error) {console.log(error);return res.status(500).json({ msg: "服务器错误", code: 500 });} else {// 如果查找语句查出结果代表此token已经存在记录,要做到退出就将此token对应的记录删除即可if (results.length === 0) {return res.status(404).json({ msg: "未找到token", code: 404 });}// 假设你只想返回一个退出成功的消息,而不是整个results对象var msg = { "msg": "退出成功", code: 0 };// 删除tokenmanage表中对应的记录let deleteSql = `DELETE FROM tokenmanage WHERE token = ?`;mysql.query(deleteSql, [token], (deleteError, deleteResults) => {if (deleteError) {console.log(deleteError);return res.status(500).json({ msg: "删除token失败", code: 500 });}// 如果删除成功,返回成功消息res.json(msg);});}});
});

通过上述步骤,你可以在Node.js应用中实现JWT的生成、验证和销毁,从而确保应用的安全性和用户身份的验证。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com