JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed. JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.(JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,能夠在各方之間做爲JSON對象安全地傳輸信息。
此信息能夠經過數字簽名進行驗證和信任。
JWT可使用祕密(使用HMAC算法)或使用RSA或ECDSA的公鑰/私鑰對進行簽名。)node
受權和安全傳輸信息git
token的結構
Header.Payload.Signatureweb
知道了JWT的用途後,咱們就開始針對受權來結合node作簡單的實現。算法
版本號mongodb
流程數據庫
說明:config.js爲全局配置文件,user.js爲Mongo數據庫對應的user實體,index.js爲項目入口文件。express
config.jsnpm
module.exports = { 'network' : { 'port':8080 }, 'salt': '0vAXJ@2R%PAxL9*Y#vLc8VQuLGk0BzdD', 'jwtsecret': 'myjwttest', 'database': 'mongodb://127.0.0.1:27017/test' };
user.jsjson
var mongoose = require('mongoose'); var Schema = mongoose.Schema; // 返回一個mongo用戶庫實例 module.exports = mongoose.model('User', new Schema({ name: String, password: String }));
index.js小程序
const express = require('express'); const app = express(); const crypto = require('crypto'); const util = require('util'); const bodyParser = require('body-parser');//request.body起效果而用 const mongoose = require('mongoose');//MongoDB const jwt = require('jsonwebtoken'); // 使用jwt簽名 const config = require('./config'); // 引入配置 const User = require('./user'); // 引入mongo用戶庫實例 // 鏈接mongo mongoose.connect(config.database); // 設置加密祕鑰 app.set('superSecret', config.jwtsecret); //設置request.body有效 app.use(bodyParser.urlencoded({ extended: false })); app.use(bodyParser.json()); app.listen(config.network.port); // 首頁 app.get('/', function (req, res) { res.send('這裏是首頁http://127.0.0.1:' + config.network.port + "/api"); }); // 註冊 app.post('/register', async function (req, res) { if (req.body.name && req.body.password) { const salt = config.salt; const pwdEnc = await util.promisify(crypto.pbkdf2)(req.body.password, salt.toString('base64'), 10000, 64, 'sha256'); var user = new User({ name: req.body.name, password: pwdEnc }); user.save(function (err) { if (err) throw err; console.log('註冊成功'); res.json({ success: true }); }); } else { res.json({ success: false, msg: "錯誤參數" }); } }); // 登陸,登陸成功返回JWT的Token 驗證用戶名密碼 app.post('/login', function (req, res) { User.findOne({ name: req.body.name }, async function (err, user) { if (err) throw err; if (!user) { res.json({ success: false, message: '未找到受權用戶' }); } else if (user) { const salt = config.salt; const pwdEnc = await util.promisify(crypto.pbkdf2)(req.body.password, salt.toString('base64'), 10000, 64, 'sha256'); if (user.password != pwdEnc) { res.json({ success: false, message: '用戶密碼錯誤' }); } else { var token = await util.promisify(jwt.sign)({ user: user, }, app.get('superSecret'), { expiresIn: '4h', }); res.json({ success: true, message: '請使用您的受權碼', token: token }); } } }); }); // 建立須要受權的接口 var apiRoutes = express.Router(); //校驗機制 apiRoutes.use(async function (req, res, next) { // 獲取傳過來的token var token = req.headers['x-access-token']; if (token) { // 解碼token獲取用戶信息 decoded爲加密前的內容 util.promisify(jwt.verify)(token, app.get('superSecret')).then(function(data){ req.decoded = data; next(); //繼續下一步路由 }).catch((error)=>{ res.status(400).json({message: '用戶未登陸',error: error}); }); } else { // 沒有拿到token 返回錯誤 return res.status(403).send({ success: false, message: '沒有找到token.' }); } });
//獲取加密的信息 apiRoutes.get('/', function (req, res) { req.decoded.user.password = undefined; res.json(req.decoded.user); }); //獲取全部用戶 apiRoutes.get('/list', function (req, res) { User.find({}, function (err, users) { res.json(users); }); }); // 註冊API路由 app.use('/api', apiRoutes); ```
廣州蘆葦科技Java開發團隊
蘆葦科技-廣州專業軟件外包服務公司
提供微信小程序、APP應用研發、UI設計等專業服務,專一於互聯網產品諮詢、品牌設計、技術研發等領域
訪問 www.talkmoney.cn 瞭解更多
萬能說明書 | 早起日記Lite | 凹凸壁紙 | 言財