1. 安装JWT相关的包

npm install jsonwebtoken express-jwt

• jsonwebtoken用于生成JWT字符串
• express-jwt用于将JWT字符串解析还原成JSON对象

2. 使用require()函数，将两个包导入

// 导入 jsonwebtoken 和express-jwt 两个包
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')

3. 定义secret密钥（secret实质上就是一条字符串）

• 当生成jwt字符串的时候，需要使用secret密钥对用户的信息进行加密，最终得到加密好的JWT字符串

• 当把JWT字符串解析还原成JSON对象的时候，需要使用secret密钥进行解密

// 创建secret对象
const secretKey = 'tokenKey123 num.1 ^_^'

4. 调用jsonwebtoken包提供的sign(用户信息对象，secret密钥，有效期对象)方法，将用户的信息加密成JWT字符串，响应给客户端

// 编写登陆接口
app.post('/api/login',(req,res)=>{
    const userinfo = req.body

    // 登陆成功 => 将用户信息转换成token，并设置有效期
    const token = jwt.sign({username:userinfo.username},secretKey,{expiresIn:'30s'})
    res.send({
        staus:200,
        msg:'登陆成功！',
        token:token
    })
})

5. 将JWT字符串还原为JSON对象

• 客户端每次在访问那些有权限接口的时候，都需要主动通过请求头的Authorization字段，将token字符串发送到服务器进行身份认证

• 此时，服务器可以通过express-jwt这个中间件，自动将客户端发送过来的Token解析还原成JSON对象

// 注册将JWT字符串解析还原成JSON对象的中间件
// .unless()指定不需要访问权限的接口
app.use(expressJWT({ secret: secretKey,algorithms:["HS256"] }).unless({ path: [/^\/api\//] }))

6. 使用req.user获取用户信息

• 当express-jwt这个中间件配置成功后，即可在那些有权限的接口中，使用req.user对象，来访问从jwt中解析出的信息

app.get('/admin/getinfo',(req,res)=>{
    console.log(res);

    res.send({
        staus:200,
        message:'获取用户信息成功！',
        data:req.user
    })
})

7. 捕获解析jwt失败后产生的错误

• 当使用express-jwt解析Token字符串时，如果客户端发送过来的Token字符串过期或者不合法，会产生一个解析失败的错误，影响项目的正常运行

• 我们可以通过Express的错误中间件，捕获这个错误并进行相关处理

完整实例代码
// 1.导入express模块
const express = require('express')

// 2.创建express服务器的实例
const app = express()

// 3.导入 jsonwebtoken 和express-jwt 两个包
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')

// 允许跨域资源访问
const cors = require('cors')
app.use(cors()) //将cors注册到express对象中

// 解析post表单数据的中间件
const bodyParser = require('body-parser')
app.use(bodyParser.urlencoded({ extended: false }))

// 4.创建secret对象
const secretKey = 'tokenKey123 num.1 ^_^'

// 5.注册将JWT字符串解析还原成JSON对象的中间件
// .unless()指定不需要访问权限的接口
app.use(expressJWT({ secret: secretKey,algorithms:["HS256"] }).unless({ path: [/^\/api\//] }))


// 编写登陆接口
app.post('/api/login', (req, res) => {
    const userinfo = req.body

    验证登陆
    if (req.body.username !== 'admin' || req.body.password !== '000000') {
        return res.send({ staus: 400, msg: '登陆失败' })
    }

    // 登陆成功 => 将用户信息转换成token，并设置有效期
    const token = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '30s' })
    res.send({
        staus: 200,
        msg: '登陆成功！',
        token: token
    })
})

app.get('/admin/getinfo',(req,res)=>{
    console.log(res);

    res.send({
        staus:200,
        message:'获取用户信息成功！',
        data:req.user
    })
})

// 编写错误中间件，用于捕获解析JWT失败后产生的错误
app.use((err,req,res,next)=>{
    // 这次失败是由token解析失败导致的
    if(err.name==='UnauthorizedError'){
        return res.send({
            staus:401,
            message:'无效的token'
        })
    }

    res.send({
        status:500,
        message:'未知的错误'
    })
})

// 对本地的86端口进行监听
app.listen(86, () => {
    console.log("Running at 127.0.0.1:86!")
})