1

我想在 expressJS 应用程序中使用 JWT 实现身份验证。
在谷歌搜索一些网站后,我学习了 JWT 概念,但我无法使用 expressJS 实现 JWT。
我没有得到 expressJS 中 JWT 的任何确切示例。
我已阅读express-jwt节点模块的自述说明,但我的问题是如何生成 JWT 以及如何验证收到的每个请求的 JWT。
什么是确切的过程:

  1. 生成智威汤逊
  2. 解码 JWT
  3. 验证 JWT

    另外,以下示例中的秘密是什么意思:
var jwt = require('express-jwt');

app.get('/protected',
    jwt({
        secret: 'shhhhhhared-secret'
    }),
    function(req, res) {
        if (!req.user.admin) return res.send(401);
        res.send(200);
    });
4

1 回答 1

0

您需要使用包jsonwebtokenexpress-jwt当您使用 ExpressJS 框架时,该包可帮助您保护部分 API。

秘密很像密码。_ 它对有效负载进行编码,以便敏感信息可以在 JWT 中传递而不会被操纵。它可以确定身份验证机制没有被更改,因此服务器可以信任该用户。

注意:在某些情况下,您会看到 JWT 使用 RS256 算法进行编码。这将需要提供一个公钥/私钥对来验证和解码 JWT。

产生

sign()函数在jsonwebtoken. 如果您使用jwt-simple包,您将使用encode().

您可以使用任何密钥签署 JWT,但您必须使用相同的密钥才能使用verify().

假设您有以下要创建 JWT 的 JSON 对象:

var json = { user: 'jdoe',
    firstName: 'John',
    lastName: 'Doe',
    id: 1
};

var token = jwt.sign(json, 'superSecretSquirrel');

您的签名/编码令牌现在看起来像:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiamRvZSIsImZpcnN0TmFtZSI6IkpvaG4iLCJsYXN0TmFtZSI6IkRvZSIsImlkIjoxLCJpYXQiOjE0MzI3NjU3NzJ9.4mowMfRKIENnAKtRdDkj-BZZqAS8_b0eS3nj5qvEu9Q

您可以在jwt.io上验证这一点(确保提供此处给出的秘密)。

验证和解码

verify()函数异步执行此操作。它在回调中返回的对象是一个解码的 JWT。为了验证 JWT,您需要将密钥传递给函数。

假设 'superSecretSquirrel' 的秘密如上所示:

var jwt = require('jsonwebtoken');

jwt.verify(token, 'superSecretSquirrel', function (err, decoded) {
    if (err)
        console.error(err);

    // Show the decoded JWT
    console.log(decoded);
});

解码后的令牌将显示为:

{ user: 'jdoe', firstName: 'John', lastName: 'Doe', id: 1, iat: 1432765772 }

iat令牌中的 是已注册的声明,表示“发行于”。

现在让我们参考您的示例(我省略了函数并替换了秘密):

var expressJWT = require('express-jwt');
// Assume app = express();

app.get('/protected',
    expressJWT({
        secret: 'superSecretSquirrel'
    }), 
    ...
);

/protected如果您有一个使用秘密“superSecretSquirrel”签名的 JSON Web 令牌,那么它只允许访问该路径。如果您有一个带有不匹配密钥的令牌,您会得到一个UnauthorizedError,并且您会想要抛出一个 HTTP 401。

于 2015-05-27T22:42:25.140 回答