查看原文
其他

Node.js 使用 express-jwt 解析 JWT

脚本之家 2021-06-30

The following article is from 面向人生编程 Author 张凯强

  脚本之家

你与百万开发者在一起

本文经授权转自公众号 面向人生编程(ID:LifeOriented)
如若转载请联系原公众号

Node.js 上 Token 鉴权常用的是 passport,它可以自定义校验策略,但如果你是用 express 框架,又只是解析 JWT 这种简单需求,可以尝试下 express-jwt 这个中间件。

关于 JWT

JWT 全称 JSON Web Token,是代替传统 session 认证的解决方案。其原理是服务端生成一个包含用户唯一标识的 JSON 对象,颁发给客户端。客户端请求需要权限的接口时,只要把这个 JSON 再原样发回给服务端,服务器通过解析就可识别用户。

它通常是这个样子:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

这个 JSON 对象通过 . 分成三段,包含了请求头(加密算法)、负载信息(如 userId、过期时间),还有通过服务端密钥生成的签名来保证不被篡改。

这种机制使服务端不再需要存储 Token,因此是非常轻量的用户认证方案。并且对于微服务这种需要不同服务间共用 Token 的跨域认证,JWT 是目前的首选。

关于 express-jwt

express-jwt 是 Node.js 的一个开源库,由 ID 认证服务提供商 auth0 开发,是专用于 express 框架下解析 JWT 的中间件。

它使用非常简单,而且会自动把 JWT 的 payload 部分赋值于 req.user,方便逻辑部分调用。

开始使用

安装

npm install express-jwt

加入中间件

const expressJWT = require('express-jwt')
app.use(expressJWT({ secret: 'secret12345' // 签名的密钥 或 PublicKey}).unless({ path: ['/login', '/signup'] // 指定路径不经过 Token 解析}))

生成 Token

生成 Token 的方式依然使用 jsonwebtoken,比如将下列代码加入到登录接口的返回部分:

const jwt = require('jsonwebtoken')
app.post('/login', function (req, res) { // 注意默认情况 Token 必须以 Bearer+空格 开头 const token = 'Bearer ' + jwt.sign( { _id: user._id, admin: user.role === 'admin' }, 'secret12345', { expiresIn: 60 * 24 * 3 } ) res.json({ status: 'ok', data: { token: token } })})

获取解析内容

当收到带 Token 的请求,如果解析成功,就可以在路由回调里通过 req.user 来访问:

app.get('/protected', function (req, res) { if (!req.user.admin) return res.sendStatus(401) res.sendStatus(200)})

req.user 实际就是 JWT 的 payload 部分:

{ _id: '5dbbc7daaf7dfe003680ba39', admin: true, iat: 1572587484, exp: 1573192284}

解析失败

如果解析失败,会抛出 UnauthorizedError,可以通过后置中间件来捕获:

app.use(function (err, req, res, next) { if (err.name === 'UnauthorizedError') { res.status(401).send('invalid token') }})

修改结果字段

默认解析结果会赋值在 req.user,也可以通过 requestProperty 来修改:

app.use(jwt({ secret: 'secret12345', requestProperty: 'auth'}))

允许无 Token 请求

当接口允许不带 Token 和带 Token 两种状态的访问时(比如文章详情登录后判断点赞),可以通过 credentialsRequired: false 来对无 Token 请求不进行解析和抛出异常。

app.use(jwt({ secret: 'secret12345', credentialsRequired: false}))

自定义解析

通过 getToken 也可以自定义一些解析逻辑,比如使用其他 Header 字段,自定义抛出异常等:

app.use(jwt({ secret: 'secret12345', credentialsRequired: false, getToken: function fromHeaderOrQuerystring (req) { if (req.headers.authorization && req.headers.authorization.split(' ')[0] === 'Bearer') { return req.headers.authorization.split(' ')[1] } else if (req.query && req.query.token) { return req.query.token } return null }}))

吊销 Token

在 JWT 机制中,由于 Token 通常不进行存储,如果想吊销某一条 Token,一般都是通过被动的方式。

常用的方式是建立某个字段的黑名单(比如 TokenId),对所有 Token 进行过滤,express-jwt 专门提供了回调来处理这种情况:

const jwt = require('express-jwt')const blacklist = require('./blacklist')
let isRevokedCallback = function(req, payload, done){ let issuer = payload.iss let tokenId = payload.jti
blacklist.getRevokedToken(issuer, tokenId, function(err, token){ if (err) { return done(err) } return done(null, !!token) // 第二个参数为 true 则不通过 })}
app.use(jwt({ secret: 'secret12345', isRevoked: isRevokedCallback}))

更多用法可以查看 官方文档[1]

References

[1] 官方文档: https://github.com/auth0/express-jwt


- END -



更多精彩


在公众号后台对话框输入以下关键词

查看更多优质内容!


女朋友 | 大数据 | 运维 | 书单 | 算法

大数据 | JavaScript | Python | 黑客

AI | 人工智能 | 5G | 区块链

机器学习 | 数学 | 送书

●  鲁大师原来真的姓鲁

●  脚本之家粉丝福利,请查看!

●  人人都欠微软一个正版?

● 致敬经典:Linux/UNIX必读书单推荐给你

 你的历史数据都还在!2.4亿人用过的社交网站正式复活:再战社交场

● 终于有人把 Nginx 说清楚了,图文详解!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存