Express身份验证揭秘：构建安全用户登录与JWT认证流程

在构建Web应用时，用户登录和身份认证是基本且重要的功能。本篇博客将深入介绍如何在Express框架中实现用户登录功能，并使用JSON Web Token (JWT) 进行身份验证，确保只有经过验证的用户才能访问受保护的接口。

用户登录接口的实现

设置路由

首先，我们需要定义用户登录的路由，以便客户端可以发送登录请求。

javascript 复制代码

// user.js
router.post('/registers', validate(validator.register), userController.register)
  .post('/logins', userController.login);

添加参数校验

使用express-validator库对登录请求的参数进行校验，确保提交的数据符合我们的预期。

javascript 复制代码

// userValidator.js
exports.login = [
  body('email').notEmpty().withMessage('邮箱不能为空').isEmail().withMessage('邮箱格式不正确'),
  body('password').notEmpty().withMessage('密码不能为空')
];

实现登录逻辑

在userController.js中，我们通过比较数据库中的用户信息来实现登录逻辑。

javascript 复制代码

// userController.js
exports.login = async (req, res) => {
  let user = await User.findOne(req.body);
  if (!user) {
    res.status(401).json({ error: "邮箱或者密码不正确" });
  } else {
    // JWT生成逻辑...
    user = user.toJSON()
    user.token = jwt.sign(user, 'secret_key')
    res.status(200).json(user)
  }
};

使用JWT进行身份验证

JWT是一种用于安全地在客户端和服务器之间传递信息的方法。它可以用于用户身份的验证和授权。

生成和解析JWT

我们使用jsonwebtoken库来生成和验证JWT。首先安装该库，然后在util/jwt.js中封装相关函数。

javascript 复制代码

// jwt.js
const jwt = require('jsonwebtoken');
exports.createToken = async (userinfo) => {
  return jwt.sign({ userinfo }, 'secret_key', { expiresIn: '1h' });
};

应用JWT验证中间件

创建JWT验证中间件，确保只有带有有效JWT的请求才能访问受保护的接口。

javascript 复制代码

// jwt.js
exports.verifyToken = async (req, res, next) => {
  let token = req.headers.authorization?.split('Bearer ')[1];
  if (!token) {
    return res.status(401).json({ error: '请传入token' });
  }
  try {
    req.user = jwt.verify(token, 'secret_key');
    next();
  } catch (e) {
    res.status(401).json({ error: '无效的token' });
  }
};

接口鉴权

在需要进行身份验证的路由上应用verifyToken中间件。

javascript 复制代码

// user.js
router.get('/lists', verifyToken, userController.list);

代码优化与配置管理

为了提高代码的可维护性，我们将数据库连接字符串和JWT密钥等配置信息单独存放在配置文件中。

javascript 复制代码

// config.default.js
exports.mongoPath = 'mongodb://localhost:27017/express-video';
exports.secretKey = 'secret_key';

同时，我们在JWT验证后将用户信息存放在req对象上，以便在后续的处理流程中直接使用。

javascript 复制代码

// jwt.js
req.user = jwt.verify(token, config.secretKey);

总结

通过上述步骤，我们成功地在Express应用中实现了用户登录功能，并引入了JWT进行用户身份验证，为接口访问提供了安全保障。本文还介绍了如何优化代码结构和配置管理，使得项目更加健壮和易于维护。希望这篇博客能帮助你在构建自己的Express应用时，更加得心应手。