- 安装JWT相关的包
npm install jsonwebtoken express-jwt
- jsonwebtoken用于生成JWT字符串
- express-jwt用于将JWT字符串解析还原成JSON对象
- 使用require()函数,将两个包导入
// 导入 jsonwebtoken 和express-jwt 两个包
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')
- 定义secret密钥(secret实质上就是一条字符串)
当生成jwt字符串的时候,需要使用secret密钥对用户的信息进行加密,最终得到加密好的JWT字符串
当把JWT字符串解析还原成JSON对象的时候,需要使用secret密钥进行解密
// 创建secret对象
const secretKey = 'tokenKey123 num.1 ^_^'
- 调用jsonwebtoken包提供的sign(用户信息对象,secret密钥,有效期对象)方法,将用户的信息加密成JWT字符串,响应给客户端
// 编写登陆接口
app.post('/api/login',(req,res)=>{
const userinfo = req.body
// 登陆成功 => 将用户信息转换成token,并设置有效期
const token = jwt.sign({username:userinfo.username},secretKey,{expiresIn:'30s'})
res.send({
staus:200,
msg:'登陆成功!',
token:token
})
})
- 将JWT字符串还原为JSON对象
客户端每次在访问那些有权限接口的时候,都需要主动通过请求头的Authorization字段,将token字符串发送到服务器进行身份认证
此时,服务器可以通过express-jwt这个中间件,自动将客户端发送过来的Token解析还原成JSON对象
// 注册将JWT字符串解析还原成JSON对象的中间件
// .unless()指定不需要访问权限的接口
app.use(expressJWT({ secret: secretKey,algorithms:["HS256"] }).unless({ path: [/^\/api\//] }))
- 使用req.user获取用户信息
- 当express-jwt这个中间件配置成功后,即可在那些有权限的接口中,使用req.user对象,来访问从jwt中解析出的信息
app.get('/admin/getinfo',(req,res)=>{
console.log(res);
res.send({
staus:200,
message:'获取用户信息成功!',
data:req.user
})
})
- 捕获解析jwt失败后产生的错误
当使用express-jwt解析Token字符串时,如果客户端发送过来的Token字符串过期或者不合法,会产生一个解析失败的错误,影响项目的正常运行
我们可以通过Express的错误中间件,捕获这个错误并进行相关处理
完整实例代码
// 1.导入express模块
const express = require('express')
// 2.创建express服务器的实例
const app = express()
// 3.导入 jsonwebtoken 和express-jwt 两个包
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')
// 允许跨域资源访问
const cors = require('cors')
app.use(cors()) //将cors注册到express对象中
// 解析post表单数据的中间件
const bodyParser = require('body-parser')
app.use(bodyParser.urlencoded({ extended: false }))
// 4.创建secret对象
const secretKey = 'tokenKey123 num.1 ^_^'
// 5.注册将JWT字符串解析还原成JSON对象的中间件
// .unless()指定不需要访问权限的接口
app.use(expressJWT({ secret: secretKey,algorithms:["HS256"] }).unless({ path: [/^\/api\//] }))
// 编写登陆接口
app.post('/api/login', (req, res) => {
const userinfo = req.body
验证登陆
if (req.body.username !== 'admin' || req.body.password !== '000000') {
return res.send({ staus: 400, msg: '登陆失败' })
}
// 登陆成功 => 将用户信息转换成token,并设置有效期
const token = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '30s' })
res.send({
staus: 200,
msg: '登陆成功!',
token: token
})
})
app.get('/admin/getinfo',(req,res)=>{
console.log(res);
res.send({
staus:200,
message:'获取用户信息成功!',
data:req.user
})
})
// 编写错误中间件,用于捕获解析JWT失败后产生的错误
app.use((err,req,res,next)=>{
// 这次失败是由token解析失败导致的
if(err.name==='UnauthorizedError'){
return res.send({
staus:401,
message:'无效的token'
})
}
res.send({
status:500,
message:'未知的错误'
})
})
// 对本地的86端口进行监听
app.listen(86, () => {
console.log("Running at 127.0.0.1:86!")
})
