NODE + JWT + Mongo(簡單實現權限管理)

JWT簡介

  • 官方是這樣介紹的:

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.(JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,能夠在各方之間做爲JSON對象安全地傳輸信息。
此信息能夠經過數字簽名進行驗證和信任。
JWT可使用祕密(使用HMAC算法)或使用RSA或ECDSA的公鑰/私鑰對進行簽名。)node

  • 用途

    受權和安全傳輸信息git

  • token的結構
    Header.Payload.Signatureweb

    • Header
      一般由兩部分組成:令牌的類型,即JWT,以及正在使用的散列算法,例如HMAC SHA256或RSA。
    • Payload
      加密的數據
    • Signature
      簽名

應用

知道了JWT的用途後,咱們就開始針對受權來結合node作簡單的實現。算法

  • 版本號mongodb

    • cnpm@6.0.0
    • npm@6.4.1
    • node@11.1.0
  • 流程數據庫

    流程圖

    • 用戶還沒登陸時,只能訪問首頁、註冊、登陸接口,以下圖

      首頁

      註冊

      登陸

    • 登陸事後能獲取本身的信息

      獲取本身信息

    • 若是沒輸入token,則提示沒有找到token,固然能夠重定位到首頁

      沒有找到token

    • 輸入錯誤的token,提示用戶未登陸

      用戶未登陸

  • 目錄結構

目錄結構

說明:config.js爲全局配置文件,user.js爲Mongo數據庫對應的user實體,index.js爲項目入口文件。express

  • config.jsnpm

    module.exports = {
            'network' : {
                'port':8080
            },
            'salt': '0vAXJ@2R%PAxL9*Y#vLc8VQuLGk0BzdD',    
            'jwtsecret': 'myjwttest',
            'database': 'mongodb://127.0.0.1:27017/test'
        };
  • user.jsjson

    var mongoose = require('mongoose');
        var Schema = mongoose.Schema;
    
        // 返回一個mongo用戶庫實例
        module.exports = mongoose.model('User', new Schema({ 
            name: String, 
            password: String
        }));
  • index.js小程序

    const express = require('express');
        const app = express();
    
        const crypto = require('crypto');
        const util = require('util');
    
        const bodyParser = require('body-parser');//request.body起效果而用
        const mongoose = require('mongoose');//MongoDB
        const jwt = require('jsonwebtoken'); // 使用jwt簽名
        const config = require('./config'); // 引入配置
        const User = require('./user'); // 引入mongo用戶庫實例
    
        // 鏈接mongo
        mongoose.connect(config.database);
        // 設置加密祕鑰
        app.set('superSecret', config.jwtsecret);
        //設置request.body有效
        app.use(bodyParser.urlencoded({ extended: false }));
        app.use(bodyParser.json());
    
        app.listen(config.network.port);
    
        // 首頁
        app.get('/', function (req, res) {
          res.send('這裏是首頁http://127.0.0.1:' + config.network.port + "/api");
        });
    
        // 註冊
        app.post('/register', async function (req, res) {
          if (req.body.name && req.body.password) {
    
            const salt = config.salt;
              const pwdEnc = await util.promisify(crypto.pbkdf2)(req.body.password, salt.toString('base64'), 10000, 64, 'sha256');
    
            var user = new User({
              name: req.body.name,
              password: pwdEnc
            });
            user.save(function (err) {
              if (err) throw err;
              console.log('註冊成功');
              res.json({ success: true });
            });
          } else {
            res.json({ success: false, msg: "錯誤參數" });
          }
        });
    
        // 登陸,登陸成功返回JWT的Token 驗證用戶名密碼
        app.post('/login', function (req, res) {
          User.findOne({
            name: req.body.name
          }, async function (err, user) {
            if (err) throw err;
            if (!user) {
              res.json({ success: false, message: '未找到受權用戶' });
            } else if (user) {
              const salt = config.salt;
              const pwdEnc = await util.promisify(crypto.pbkdf2)(req.body.password, salt.toString('base64'), 10000, 64, 'sha256');
    
              if (user.password != pwdEnc) {
                res.json({ success: false, message: '用戶密碼錯誤' });
              } else {
    
                var token = await util.promisify(jwt.sign)({
                  user: user,
                }, app.get('superSecret'), {
                  expiresIn: '4h',
                });
                res.json({
                  success: true,
                  message: '請使用您的受權碼',
                  token: token
                });
              }
            }
          });
        });
    
        //  建立須要受權的接口
        var apiRoutes = express.Router();
    
        //校驗機制
        apiRoutes.use(async function (req, res, next) {
    
          // 獲取傳過來的token
          var token = req.headers['x-access-token'];
    
          if (token) {
            // 解碼token獲取用戶信息 decoded爲加密前的內容
            util.promisify(jwt.verify)(token, app.get('superSecret')).then(function(data){
              req.decoded = data;
              next(); //繼續下一步路由
            }).catch((error)=>{
              res.status(400).json({message: '用戶未登陸',error: error});
            });
    
          } else {
            // 沒有拿到token 返回錯誤 
            return res.status(403).send({
              success: false,
              message: '沒有找到token.'
            });
    
          }
        });
//獲取加密的信息
    apiRoutes.get('/', function (req, res) {
      req.decoded.user.password = undefined;
      res.json(req.decoded.user);
    });

    //獲取全部用戶
    apiRoutes.get('/list', function (req, res) {
      User.find({}, function (err, users) {
        res.json(users);
      });
    });

    // 註冊API路由
    app.use('/api', apiRoutes);


```

廣州蘆葦科技Java開發團隊

蘆葦科技-廣州專業軟件外包服務公司

提供微信小程序、APP應用研發、UI設計等專業服務,專一於互聯網產品諮詢、品牌設計、技術研發等領域

訪問 www.talkmoney.cn 瞭解更多

萬能說明書 | 早起日記Lite | 凹凸壁紙 | 言財

相關文章
相關標籤/搜索