答案:通过jsonwebtoken库实现JWT认证中间件,验证Authorization头中的Bearer Token合法性。首先安装express和jsonwebtoken,登录时用jwt.sign生成带过期时间的Token;中间件authenticateToken解析请求头,提取并用jwt.verify校验签名与有效期,成功后挂载用户信息至req.user,失败则返回401或403;最后将中间件应用于需保护的路由。建议密钥由环境变量管理,前端正确携带Bearer Token,确保安全性和稳定性。
要实现一个支持JWT的认证中间件,核心是验证请求头中的Token是否合法。Node.js结合jsonwebtoken库可以轻松完成这项任务。下面是一个实用且结构清晰的实现方式。
安装依赖
使用npm安装jsonwebtoken和express:
npm install express jsonwebtoken npm install –save-dev dotenv
生成和验证Token的基本逻辑
在用户登录成功后,服务端签发JWT;后续请求需携带该Token,中间件负责验证其有效性。
示例代码:
const jwt = require('jsonwebtoken');const SECRET_KEY = 'your-secret-key'; // 建议从环境变量读取// 登录接口:生成Tokenfunction login(req, res) { const { username } = req.body; const token = jwt.sign({ username }, SECRET_KEY, { expiresIn: '1h' }); res.json({ token });}
编写JWT认证中间件
中间件检查请求头Authorization是否存在,格式是否为Bearer ,并验证签名和过期时间。
function authenticateToken(req, res, next) { const authHeader = req.headers['authorization']; const token = authHeader && authHeader.split(' ')[1]; // Bearer TOKEN if (!token) { return res.status(401).json({ error: 'Access token required' }); } jwt.verify(token, SECRET_KEY, (err, user) => { if (err) { return res.status(403).json({ error: 'Invalid or expired token' }); } req.user = user; // 将解码后的用户信息挂载到req对象 next(); });}
在Express路由中使用中间件
将中间件应用到需要保护的路由上。
const express = require('express');const app = express();app.use(express.json());// 公开接口(无需认证)app.post('/login', login);// 受保护接口(使用中间件)app.get('/profile', authenticateToken, (req, res) => { res.json({ message: `Welcome ${req.user.username}` });});app.listen(3000, () => { console.log('Server running on port 3000');});
基本上就这些。只要确保密钥安全、Token合理设置过期时间,并在前端正确传递,这套机制就能稳定运行。不复杂但容易忽略细节,比如空header处理和错误类型区分。
以上就是如何用Node.js实现一个支持JWT的认证中间件?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/43447.html
微信扫一扫 
支付宝扫一扫 
