node.js中实现token的生成与验证

Token(令牌)是一种用于在客户端和服务器之间安全传输信息的加密字符串。在Web开发中,Token常用于身份验证和授权,确保用户能够安全地访问受保护的资源。

作用与意义

  1. 身份验证:Token可以用来验证用户的身份,确保用户已经通过认证流程。
  2. 授权:通过Token,服务器可以识别用户的权限,从而允许或拒绝访问特定的资源。
  3. 状态管理:在无状态(stateless)的API设计中,Token可以携带用户的状态信息,而不需要在服务器端存储会话数据。
  4. 安全性:Token通常包含加密信息,可以有效防止CSRF(跨站请求伪造)和XSS(跨站脚本攻击)等安全威胁

在Node.js中生成与验证Token

在Node.js中,常用的库是jsonwebtoken(JWT),它提供了一种简单的方式来生成和验证JSON Web Tokens。

安装依赖

首先,你需要安装jsonwebtoken库:

javascript 复制代码
npm install jsonwebtoken

生成Token

下面是一个生成Token的示例:

javascript 复制代码
const jwt = require('jsonwebtoken');
// 秘钥(请确保在实际应用中妥善保管)
const secretKey = 'your_secret_key';
// 用户数据(可以包含用户ID、用户名等信息)
const userData = {
  id: 1,
  username: 'exampleUser'
};
// 生成Token
const token = jwt.sign(userData, secretKey, { expiresIn: '1h' }); // 1小时后过期
console.log('Generated Token:', token);

验证Token

下面是一个验证Token的示例:

javascript 复制代码
const jwt = require('jsonwebtoken');
// 秘钥(与生成Token时使用的秘钥相同)
const secretKey = 'your_secret_key';
// 假设这是从客户端接收到的Token
const receivedToken = 'your_received_token_here';
jwt.verify(receivedToken, secretKey, (err, decoded) => {
  if (err) {
    // Token无效或已过期
    console.error('Token is invalid or expired:', err.message);
    return;
  }
  // Token有效,decoded包含生成Token时传递的用户数据
  console.log('Decoded Token:', decoded);
  // 在这里处理用户请求,例如根据decoded.id获取用户信息
});

完整过程示例

下面是一个完整的示例,包括生成Token和验证Token的过程:

javascript 复制代码
const express = require('express');
const jwt = require('jsonwebtoken');
const bodyParser = require('body-parser');
const app = express();
const port = 3000;
// 秘钥(请确保在实际应用中妥善保管)
const secretKey = 'your_secret_key';
// 中间件:解析JSON请求体
app.use(bodyParser.json());
// 路由:生成Token
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  // 在这里进行用户名和密码的验证(示例中省略)
  // 假设验证成功,生成Token
  if (username === 'exampleUser' && password === 'examplePass') {
    const userData = {
      id: 1,
      username: 'exampleUser'
    };
    const token = jwt.sign(userData, secretKey, { expiresIn: '1h' });
    res.json({ token });
  } else {
    res.status(401).json({ message: 'Invalid credentials' });
  }
});
// 路由:受保护的资源
app.get('/protected', (req, res) => {
  const token = req.headers['authorization'] && req.headers['authorization'].split(' ')[1];
  if (!token) {
    return res.status(401).json({ message: 'No token provided' });
  }
  jwt.verify(token, secretKey, (err, decoded) => {
    if (err) {
      return res.status(403).json({ message: 'Token is invalid or expired' });
    }
    // Token有效,返回受保护的数据
    res.json({ message: 'Welcome to the protected route', user: decoded });
  });
});
app.listen(port, () => {
  console.log(`Server is running on http://localhost:${port}`);
});

使用方法

1、启动服务器:

javascript 复制代码
node app.js

2、使用POST请求访问/login路由,提供用户名和密码(示例中为exampleUser和examplePass),获取生成的Token。

3、使用GET请求访问/protected路由,并在请求头中提供Authorization字段,值为Bearer加上空格再加上Token。

相关推荐
HWL56793 分钟前
在本地使用Node.js和Express框架来连接和操作远程数据库
node.js·express
Sammyyyyy6 分钟前
Node.js 做 Web 后端优势为什么这么大?
开发语言·前端·javascript·后端·node.js·servbay
妮妮喔妮17 分钟前
Webpack 有哪些特性?构建速度?如何优化?
前端·webpack·node.js
ST.J23 分钟前
webpack笔记
前端·笔记·webpack
Baklib梅梅42 分钟前
2025 年 8 个最佳网站内容管理系统(CMS)
前端·ruby on rails·前端框架·ruby
IT_陈寒1 小时前
🔥5个必学的JavaScript性能黑科技:让你的网页速度提升300%!
前端·人工智能·后端
Bling_Bling_11 小时前
面试常考:js中 Map和 Object 的区别
开发语言·前端·javascript
前端小巷子1 小时前
JS实现丝滑文字滚动
前端·javascript·面试
oil欧哟1 小时前
🧐 我用 Vibe Coding 从 0 到 1 打造 AI 产品,上线一个月效果如何?有什么心得?
前端·产品·vibecoding
霍克itxt点top2 小时前
NestJS 入门到实战 前端必学服务端新趋势无密分享
前端