快捷導(dǎo)航

node.js中實(shí)現(xiàn)token的生成與驗(yàn)證的操作方法

更新時間：2025年01月13日 09:55:38 作者：小灰灰學(xué)編程

Token是一種用于在客戶端和服務(wù)器之間安全傳輸信息的加密字符串,常用于身份驗(yàn)證、授權(quán)、狀態(tài)管理和安全性,在Node.js中,常用jsonwebtoken庫生成和驗(yàn)證Token,本文介紹node.js中實(shí)現(xiàn)token的生成與驗(yàn)證的操作方法,感興趣的朋友一起看看吧

作用與意義

身份驗(yàn)證：Token可以用來驗(yàn)證用戶的身份，確保用戶已經(jīng)通過認(rèn)證流程。
授權(quán)：通過Token，服務(wù)器可以識別用戶的權(quán)限，從而允許或拒絕訪問特定的資源。
狀態(tài)管理：在無狀態(tài)（stateless）的API設(shè)計中，Token可以攜帶用戶的狀態(tài)信息，而不需要在服務(wù)器端存儲會話數(shù)據(jù)。
安全性：Token通常包含加密信息，可以有效防止CSRF（跨站請求偽造）和XSS（跨站腳本攻擊）等安全威脅

在Node.js中生成與驗(yàn)證Token

在Node.js中，常用的庫是jsonwebtoken（JWT），它提供了一種簡單的方式來生成和驗(yàn)證JSON Web Tokens。

安裝依賴

首先，你需要安裝jsonwebtoken庫：

npm install jsonwebtoken

生成Token

下面是一個生成Token的示例：

const jwt = require('jsonwebtoken');
// 秘鑰（請確保在實(shí)際應(yīng)用中妥善保管）
const secretKey = 'your_secret_key';
// 用戶數(shù)據(jù)（可以包含用戶ID、用戶名等信息）
const userData = {
  id: 1,
  username: 'exampleUser'
};
// 生成Token
const token = jwt.sign(userData, secretKey, { expiresIn: '1h' }); // 1小時后過期
console.log('Generated Token:', token);

驗(yàn)證Token

下面是一個驗(yàn)證Token的示例：

const jwt = require('jsonwebtoken');
// 秘鑰（與生成Token時使用的秘鑰相同）
const secretKey = 'your_secret_key';
// 假設(shè)這是從客戶端接收到的Token
const receivedToken = 'your_received_token_here';
jwt.verify(receivedToken, secretKey, (err, decoded) => {
  if (err) {
    // Token無效或已過期
    console.error('Token is invalid or expired:', err.message);
    return;
  }
  // Token有效，decoded包含生成Token時傳遞的用戶數(shù)據(jù)
  console.log('Decoded Token:', decoded);
  // 在這里處理用戶請求，例如根據(jù)decoded.id獲取用戶信息
});

完整過程示例

下面是一個完整的示例，包括生成Token和驗(yàn)證Token的過程：

const express = require('express');
const jwt = require('jsonwebtoken');
const bodyParser = require('body-parser');
const app = express();
const port = 3000;
// 秘鑰（請確保在實(shí)際應(yīng)用中妥善保管）
const secretKey = 'your_secret_key';
// 中間件：解析JSON請求體
app.use(bodyParser.json());
// 路由：生成Token
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  // 在這里進(jìn)行用戶名和密碼的驗(yàn)證（示例中省略）
  // 假設(shè)驗(yàn)證成功，生成Token
  if (username === 'exampleUser' && password === 'examplePass') {
    const userData = {
      id: 1,
      username: 'exampleUser'
    };
    const token = jwt.sign(userData, secretKey, { expiresIn: '1h' });
    res.json({ token });
  } else {
    res.status(401).json({ message: 'Invalid credentials' });
  }
});
// 路由：受保護(hù)的資源
app.get('/protected', (req, res) => {
  const token = req.headers['authorization'] && req.headers['authorization'].split(' ')[1];
  if (!token) {
    return res.status(401).json({ message: 'No token provided' });
  }
  jwt.verify(token, secretKey, (err, decoded) => {
    if (err) {
      return res.status(403).json({ message: 'Token is invalid or expired' });
    }
    // Token有效，返回受保護(hù)的數(shù)據(jù)
    res.json({ message: 'Welcome to the protected route', user: decoded });
  });
});
app.listen(port, () => {
  console.log(`Server is running on http://localhost:${port}`);
});