Node.js中JWT的token完整生命周期管理:从生成到销毁
在Node.js中使用JWT(JSON Web Token)进行身份验证和授权是一种常见的实践。下面详细介绍JWT从生成到销毁的过程。
JWT生成
安装jsonwebtoken库:
要生成JWT,首先需要安装jsonwebtoken
库。通过运行以下命令来安装:
npm install jsonwebtoken
创建JWT
在Node.js中生成JWT(JSON Web Token)的过程涉及几个关键步骤,下面将详细介绍这些步骤和相关的技术细节。
1. Header(头部)
JWT的头部通常由两部分组成:令牌的类型(typ
)和所使用的签名算法(alg
)。例如,对于HS256算法,头部可能如下所示:
{
"alg": "HS256",
"typ": "JWT"
}
这个JSON对象需要被Base64Url编码,以形成JWT的第一个部分。
2. Payload(负载)
负载部分包含了所谓的“声明”(Claims),这些是关于实体(通常是用户)和其他数据的陈述。声明分为三类:注册的声明、公共的声明和私有的声明。例如:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
这个JSON对象同样需要被Base64Url编码,以形成JWT的第二部分。
3. Signature(签名)
签名是使用Header中指定的签名算法和密钥(Secret)对Header和Payload的编码字符串进行签名的结果。这个过程确保了JWT的完整性和真实性。签名的生成公式如下:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
这个签名是JWT的第三部分,并且是验证JWT有效性的关键。
4. 组合Header、Payload和Signature
最终,将编码后的Header、Payload和生成的Signature用点(.
)连接起来,形成完整的JWT字符串:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
5. 使用jsonwebtoken库生成JWT
在Node.js中,可以使用jsonwebtoken
库来简化JWT的生成过程。以下是一个基本示例:
const jwt = require('jsonwebtoken');
const token = jwt.sign(
{
id: 1,
username: 'admin'
},
'secret', // 自定义密钥
{
expiresIn: '1h' // 过期时间
}
);
console.log(token);
在这个示例中,我们使用jwt.sign
方法,传入负载(包含用户信息)、密钥和签名选项(如过期时间)来生成JWT。
通过这些步骤,你可以在Node.js应用中生成JWT,用于身份验证和信息交换。生成的JWT可以被客户端存储和使用,直到它过期或被服务器端撤销。
JWT验证
在Node.js中验证JWT的过程涉及几个关键步骤,以下是详细的验证方法:
1. 验证JWT
服务器收到JWT后,需要验证其真实性。使用以下代码验证JWT:
const jwt = require('jsonwebtoken');
const token = 'your-jwt-token';
const secretKey = 'your-secret-key';
try {
const decoded = jwt.verify(token, secretKey);
console.log(decoded);
} catch (error) {
console.error('JWT verification failed');
}
在这个过程中,jwt.verify
方法会使用提供的secretKey
来验证JWT的签名。如果签名验证成功,它会返回JWT的Payload部分,否则会抛出错误。
2. 创建JWT验证中间件
在Express.js中,你可以创建JWT验证中间件来保护特定路由。以下是一个示例:
const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';
function authenticateToken(req, res, next) {
const token = req.header('Authorization');
if (!token) return res.status(401).send('Access denied');
try {
const decoded = jwt.verify(token, secretKey);
req.user = decoded;
next();
} catch (error) {
res.status(403).send('Invalid token');
}
}
这个中间件函数authenticateToken
会检查HTTP请求头中的Authorization
字段是否包含JWT。如果JWT存在,它会尝试验证JWT的有效性。如果验证成功,decoded
对象(包含JWT的Payload)会被附加到req.user
上,以便在后续的请求处理中使用。如果验证失败,会返回403错误。
3. 应用中间件保护路由
你可以将authenticateToken
中间件应用到需要保护的路由上,以确保只有验证通过的用户才能访问:
app.get('/protected', authenticateToken, (req, res) => {
res.json({ message: 'This is a protected route', user: req.user });
});
在这个例子中,任何尝试访问/protected
路由的请求都必须通过authenticateToken
中间件的验证。
4. 安全提示
- 安全存储密钥:密钥是JWT的关键部分,应安全存储。不要硬编码密钥,最好从环境变量或配置文件中读取。
- 定期刷新令牌:为JWT设置适当的到期时间,以降低安全风险。客户端应定期获取新的JWT令牌。
- 不要在JWT中存储敏感信息:避免在JWT中存储敏感信息,因为JWT可以被解码。如果需要存储敏感信息,应使用加密而不是签名。
通过这些步骤,你可以在Node.js应用中实现JWT的验证,确保只有持有有效JWT的用户才能访问受限资源。
JWT销毁
客户端销毁:
客户端通常负责销毁存储在本地的JWT,例如在浏览器中清除localStorage或sessionStorage中的token,但是这种方法通常不保险,还需要在后端彻底将推出的jwt销毁。这可以通过设置cookie过期时间来实现:
res.cookie('token', 'none', {
expires: new Date(Date.now()),
})
服务端销毁:
由于只在服务端删除浏览器中的localStorage不保险,所以子在服务端也要进行类似的操作,将已经生成的token删除掉。结合本人已经做过的项目代码进行一步步讲解:
1.创建一个tokenmanage表
这个表用来存储每一个登录的账号的登录时间(请求登录接口时候的登录时间)、过期时间(你token设置的过期时间)、用户账号(生成这个token对应的账号,对应用户表的account)
SET FOREIGN_KEY_CHECKS=0;
-- ----------------------------
-- Table structure for `tokenmanage`
-- ----------------------------
DROP TABLE IF EXISTS `tokenmanage`;
CREATE TABLE `tokenmanage` (
`id` int(8) NOT NULL AUTO_INCREMENT,
`token` varchar(255) DEFAULT NULL,
`logintime` varchar(255) DEFAULT NULL COMMENT '登录时间',
`expiretime` varchar(255) DEFAULT NULL COMMENT '过期时间',
`useraccount` varchar(255) DEFAULT NULL COMMENT '用户账号',
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf32;
2. user表加字段
SET FOREIGN_KEY_CHECKS=0;
-- ----------------------------
-- Table structure for `users`
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
`id` int(8) NOT NULL AUTO_INCREMENT,
`account` varchar(30) DEFAULT NULL,
`pwd` varchar(30) DEFAULT NULL,
`utype` int(1) DEFAULT NULL COMMENT '类型',
`status` tinyint(1) DEFAULT '1' COMMENT '状态:1 正常 0删除',
`ctime` varchar(30) DEFAULT NULL COMMENT '创建时间,时间戳',
`pfcollege` varchar(30) DEFAULT NULL,
`pfgrade` varchar(10) DEFAULT NULL,
`pfspeciality` varchar(10) DEFAULT NULL,
`pfpart` tinyint(1) DEFAULT NULL,
`uname` varchar(10) DEFAULT NULL,
`picture` varchar(100) DEFAULT NULL,
`logintime` varchar(30) DEFAULT NULL COMMENT '登录时间',
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=36 DEFAULT CHARSET=utf32;
2.登录接口处理
所需模块:
var express = require('express')
var router = express.Router()
var mysql = require('mysql')
// 生成token
const webjwt = require('jsonwebtoken')
// 从db文件中导入的数据库模块
var mysql = require("../db/mysql")
登录接口代码:
// 登录接口
router.get('/login', function (req, response) {
var body = req.query;
console.log(req.query);
let { mobile, pwd } = body;
console.log(mobile, pwd);
// 先查询账号是否存在
mysql.query('SELECT account, id, logintime FROM users WHERE account = ?', [mobile], function (error, results) {
if (error) {
console.log(error);
response.json({ code: 1, msg: '数据库查询错误' });
return;
}
if (results.length > 0) {
// 如果账号存在的话继续查询账号密码
mysql.query('SELECT account, id FROM users WHERE account = ? AND pwd = ?', [mobile, pwd], function (error, results) {
if (error) {
console.log(error);
response.json({ code: 1, msg: '数据库查询错误' });
return;
}
if (results.length > 0) {
let user = results[0];
// 更新登录时间
let now = new Date().getTime(); // 获取当前时间的时间戳,以毫秒为单位
mysql.query('UPDATE users SET logintime = ? WHERE id = ?', [now, user.id], function (error, updateResults) {
if (error) {
console.log(error);
response.json({ code: 1, msg: '数据库更新错误' });
return;
}
// 注意默认情况 Token 必须以 Bearer+空格 开头
const token = 'Bearer ' + webjwt.sign(
{
uid: user.id,
account: user.account
},
'pwdxpx',
{
expiresIn: 3600 * 24 * 2
// expiresIn: 1 * 60
}
);
let threeDaysLater = now + 2 * 24 * 60 * 60 * 1000; // 计算三天后的时间戳
// let threeDaysLater = now + 1 * 60 * 1000;
// 检查tokenManage表中是否存在对应的useraccount记录,看看这个用户是否登录过
mysql.query('SELECT token,logintime,expiretime FROM tokenmanage WHERE useraccount = ?',
[user.account],
function (error, tokenResults) {
console.log(tokenResults[0].logintime, typeof (tokenResults[0].expiretime))
if (error) {
console.log(error);
response.json({ code: 1, msg: '数据库查询错误' });
return;
}
if (tokenResults.length > 0) {
// 如果当前账号存在token,那就判断登录时间是否超过了过期时间,
// 如果登录token已经过期了,那就删除当前记录
if (Number(tokenResults[0].logintime) > Number(tokenResults[0].expiretime)) {
// 删除+插入添加
/* mysql.query("DELETE FROM tokenmanage WHERE useraccount = ?", [user.account], (error, resultsexpire) => {
if (error) console.log(error)
console.log("token 验证已经过期了,接下来重新添加")
})
mysql.query('INSERT INTO tokenmanage (token, logintime, expiretime, useraccount) VALUES (?, ?, ?, ?)',
[token, now, threeDaysLater, user.account],
function (error, insertTokenResults) {
if (error) {
console.log(error);
} else {
console.log("token表添加成功!");
}
});*/
// 直接更新 ~~删除+插入添加
mysql.query("UPDATE tokenmanage SET token = ?, logintime = ?, expiretime = ?, useraccount = ?",
[token, now, threeDaysLater, user.account],
(error, updatetokenResults) => {
if (error) {
console.log(error);
} else {
console.log("token表更新成功!");
response.json({
code: 0, msg: "验证更新-登录完成",
data: {
userid: user.id,
user_account: mobile,
status: 'ok',
token: token
}
});
}
}
)
} else {
// 如果登录token没有过期了,那就更新当前记录的登录时间改为最新的时间
mysql.query('UPDATE tokenmanage SET logintime = ? WHERE useraccount = ?',
[now, user.account],
function (error, updateTokenResults) {
if (error) {
console.log(error);
} else {
console.log("token表的登录时间更新成功!");
}
});
response.json({
code: 0, msg: "登录完成",
data: {
userid: user.id,
user_account: mobile,
status: 'ok',
token: tokenResults[0].token
}
});
}
} else {
// 如果当前账号不存在token,那就插入一条新记录
mysql.query('INSERT INTO tokenManage (token, logintime, expiretime, useraccount) VALUES (?, ?, ?, ?)',
[token, now, threeDaysLater, user.account],
function (error, insertTokenResults) {
if (error) {
console.log(error);
} else {
console.log("token表添加成功!");
}
});
// 账号密码一致则返回用户需要的数据
response.json({
code: 0, msg: "登录完成",
data: {
userid: user.id,
user_account: mobile,
status: 'ok',
token: token
}
});
}
});
});
} else {
response.json({
code: 1,
msg: '用户名或密码不正确',
});
}
});
} else {
// 账号不存在则提示:账号不存在,请输入正确的账号
response.send({ code: 1, msg: '账号不存在,请输入正确的账号' });
}
});
});
3. 退出接口处理
// 退出接口
router.get('/logout', function (req, res, next) {
// 从请求头中获取Authorization字段,并提取token
const authHeader = req.headers.authorization;
const token = authHeader ? authHeader.split(' ')[1] : null; // 提取token
if (!token) {
return res.status(401).json({ msg: "未提供有效的token", code: 401 });
}
console.log(token);
// 先通过请求头中提供的token,去数据表中根据token字段查找是否存在该记录
let sqltoken = `SELECT useraccount, logintime, expiretime FROM tokenmanage WHERE token = ?`;
mysql.query(sqltoken, [token], (error, results) => {
if (error) {
console.log(error);
return res.status(500).json({ msg: "服务器错误", code: 500 });
} else {
// 如果查找语句查出结果代表此token已经存在记录,要做到退出就将此token对应的记录删除即可
if (results.length === 0) {
return res.status(404).json({ msg: "未找到token", code: 404 });
}
// 假设你只想返回一个退出成功的消息,而不是整个results对象
var msg = { "msg": "退出成功", code: 0 };
// 删除tokenmanage表中对应的记录
let deleteSql = `DELETE FROM tokenmanage WHERE token = ?`;
mysql.query(deleteSql, [token], (deleteError, deleteResults) => {
if (deleteError) {
console.log(deleteError);
return res.status(500).json({ msg: "删除token失败", code: 500 });
}
// 如果删除成功,返回成功消息
res.json(msg);
});
}
});
});
通过上述步骤,你可以在Node.js应用中实现JWT的生成、验证和销毁,从而确保应用的安全性和用户身份的验证。