构建安全的用户登录API:从请求验证到JWT令牌生成

构建安全的用户登录API:从请求验证到JWT令牌生成

为了实现这个后端POST /api/users/login端点,我们可以使用Node.js和Express框架,并结合一些常用的库如jsonwebtokenbcryptexpress-validator来处理验证和密码校验。下面是一个完整的示例代码:

1. 安装依赖

首先,确保你已经安装了以下依赖包:

  • express
  • jsonwebtoken
  • bcryptjs
  • express-validator
  • dotenv(用于管理环境变量)
python 复制代码
npm install express jsonwebtoken bcryptjs express-validator dotenv

2. 配置环境变量

创建一个.env文件来存储JWT密钥和其他配置信息。

python 复制代码
JWT_SECRET=your_jwt_secret_key
REFRESH_TOKEN_SECRET=your_refresh_token_secret_key
PORT=3000

3. 创建用户数据模型(模拟数据库)

假设我们有一个简单的内存数据库来存储用户数据。在实际应用中,你应该使用一个真正的数据库,比如MongoDB或PostgreSQL。

js 复制代码
// users.js
const bcrypt = require('bcryptjs');

const users = [
  {
    id: 1,
    email: 'user@example.com',
    password: bcrypt.hashSync('secretpassword', 8)
  }
];

module.exports = { users };

4. 创建登录路由

创建一个app.js文件来设置Express服务器并定义登录路由。

js 复制代码
// app.js
require('dotenv').config();
const express = require('express');
const jwt = require('jsonwebtoken');
const bcrypt = require('bcryptjs');
const { check, validationResult } = require('express-validator');
const { users } = require('./users');

const app = express();
const PORT = process.env.PORT || 3000;

app.use(express.json());

// 登录路由
app.post('/api/users/login', [
  check('email', 'Invalid email').isEmail(),
  check('password', 'Password is required').not().isEmpty()
], (req, res) => {
  const errors = validationResult(req);
  if (!errors.isEmpty()) {
    return res.status(400).json({ errors: errors.array() });
  }

  const { email, password } = req.body;
  const user = users.find(u => u.email === email);

  if (!user) {
    return res.status(401).json({ message: 'Invalid email or password' });
  }

  const isMatch = bcrypt.compareSync(password, user.password);

  if (!isMatch) {
    return res.status(401).json({ message: 'Invalid email or password' });
  }

  // 生成JWT tokens
  const accessToken = jwt.sign({ userId: user.id }, process.env.JWT_SECRET, { expiresIn: '15m' });
  const refreshToken = jwt.sign({ userId: user.id }, process.env.REFRESH_TOKEN_SECRET, { expiresIn: '7d' });

  res.json({
    access_token: accessToken,
    refresh_token: refreshToken
  });
});

app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

5. 运行服务器

确保你的.env文件已经配置好,然后运行服务器:

js 复制代码
node app.js

6. 测试API

你可以使用Postman或cURL来测试这个API端点。

成功请求
shell 复制代码
curl -X POST http://localhost:3000/api/users/login \
-H "Content-Type: application/json" \
-d '{"email": "user@example.com", "password": "secretpassword"}'

响应:

shell 复制代码
{
  "access_token": "your_access_token",
  "refresh_token": "your_refresh_token"
}
失败请求
shell 复制代码
curl -X POST http://localhost:3000/api/users/login \
-H "Content-Type: application/json" \
-d '{"email": "user@example.com", "password": "wrongpassword"}'

响应:

shell 复制代码
{
  "message": "Invalid email or password"
}

总结

以上代码实现了POST /api/users/login端点,处理了JSON请求,并根据请求内容返回相应的JWT tokens或错误信息。确保在生产环境中使用HTTPS来保护密码安全。

欢迎大家体验、试用阿里云百炼大模型和阿里云服务产品,链接如下:

阿里云百炼大模型

https://bailian.console.aliyun.com/

通义灵码_智能编码助手面向用户上线个人和企业版产品

https://tongyi.aliyun.com/lingma/pricing?userCode=jl9als0w

云工开物_阿里云高校计划助力高校科研与教育加速。

https://university.aliyun.com/mobile?userCode=jl9als0w

无影云电脑个人版简单易用、安全高效的云上桌面服务

https://www.aliyun.com/product/wuying/gws/personal_edition?userCode=jl9als0w

云服务器ECS省钱攻略五种权益,限时发放,不容错过

https://www.aliyun.com/daily-act/ecs/ecs_trial_benefits?userCode=jl9als0w

相关推荐
仗剑_走天涯1 小时前
基于pytorch.nn模块实现线性模型
人工智能·pytorch·python·深度学习
cnbestec2 小时前
协作机器人UR7e与UR12e:轻量化设计与高负载能力助力“小而美”智造升级
人工智能·机器人·协作机器人·ur协作机器人·ur7e·ur12e
zskj_zhyl2 小时前
毫米波雷达守护银发安全:七彩喜跌倒检测仪重构居家养老防线
人工智能·安全·重构
gaosushexiangji3 小时前
利用sCMOS科学相机测量激光散射强度
大数据·人工智能·数码相机·计算机视觉
前端_学习之路3 小时前
React--Fiber 架构
前端·react.js·架构
ai小鬼头4 小时前
AIStarter新版重磅来袭!永久订阅限时福利抢先看
人工智能·开源·github
说私域5 小时前
从品牌附庸到自我表达:定制开发开源AI智能名片S2B2C商城小程序赋能下的营销变革
人工智能·小程序
飞哥数智坊5 小时前
新版定价不够用,Cursor如何退回旧版定价
人工智能·cursor
12点一刻5 小时前
搭建自动化工作流:探寻解放双手的有效方案(2)
运维·人工智能·自动化·deepseek
未来之窗软件服务6 小时前
东方仙盟AI数据中间件使用教程:开启数据交互与自动化应用新时代——仙盟创梦IDE
运维·人工智能·自动化·仙盟创梦ide·东方仙盟·阿雪技术观