在现代 Web 应用中,身份验证和权限管理是后端系统的核心能力。Node.js 项目通常采用 JWT(JSON Web Token)实现无状态认证,从而支持前后端分离、移动端和多端接入。
本文将结合 Express,讲解 JWT 在 Node.js 中的实际使用方式,以及常见的权限控制思路。
一、什么是 JWT
JWT 是一种基于 JSON 的身份凭证格式。
它由三部分组成:Header、Payload 和 Signature。服务端生成 Token 后返回给客户端,客户端在后续请求中携带该 Token,即可完成身份验证。
JWT 最大的特点是无状态,服务端不需要保存会话信息。
二、JWT 适合的使用场景
JWT 非常适合以下场景:
- 前后端分离项目
- RESTful API
- 移动端 / 小程序 / 多端登录
- 分布式系统
相比传统 Session,JWT 更易扩展和部署。
三、JWT 登录流程说明
一个完整的 JWT 认证流程通常如下:
- 用户提交账号和密码
- 服务端验证身份
- 生成 JWT 并返回
- 客户端保存 Token
- 后续请求携带 Token
服务端只负责验证 Token 的合法性。
四、在 Node.js 中生成 JWT
在 Express 项目中,常用第三方库来生成 JWT。
js
const jwt = require('jsonwebtoken');
const token = jwt.sign(
{ userId: 1, role: 'admin' },
'secret_key',
{ expiresIn: '2h' }
);Payload 中可以存放用户 ID、角色等必要信息,但不应包含敏感数据。
五、客户端如何携带 Token
客户端通常通过请求头携带 JWT。
text
Authorization: Bearer <token>这种方式符合 HTTP 规范,也便于统一拦截处理。
六、JWT 验证中间件实现
在 Node.js 中,通常通过中间件统一验证 Token。
js
function authMiddleware(req, res, next) {
const auth = req.headers.authorization;
if (!auth) return res.status(401).send('未登录');
const token = auth.split(' ')[1];
try {
req.user = jwt.verify(token, 'secret_key');
next();
} catch {
res.status(401).send('Token 无效');
}
}将认证逻辑集中在中间件中,有利于维护。
七、接口级别的权限控制
认证解决的是"你是谁",权限解决的是"你能做什么"。
可以在中间件中判断用户角色。
js
function adminOnly(req, res, next) {
if (req.user.role !== 'admin') {
return res.status(403).send('无权限访问');
}
next();
}通过组合中间件,实现灵活的权限控制。
八、基于角色的权限管理思路
常见的权限模型包括:
- 基于角色(RBAC)
- 基于资源
- 基于接口
中小项目中,基于角色的权限管理最简单也最实用。
九、JWT 使用中的常见问题
在实际使用 JWT 时,需要注意以下问题:
- Token 过期时间设置合理
- 密钥不能泄露
- HTTPS 传输
- 不在 Payload 中存敏感信息
这些细节直接影响系统安全性。
十、JWT 与刷新机制
为了提升用户体验,通常会引入刷新 Token 机制。
短期 Token 用于访问接口,长期 Token 用于获取新 Token,可以在安全性和体验之间取得平衡。
十一、总结
JWT 为 Node.js 项目提供了一种高效、灵活的身份验证方案。结合中间件和角色控制,可以构建清晰、可维护的权限体系。
在实际项目中,应根据业务复杂度选择合适的权限模型,并重视安全细节。