当前位置：首页 > news >正文

怎么做网站写书/品牌网络推广怎么做

news 文章来源：https://blog.csdn.net/x15514104477/article/details/144238879 2025/3/9 20:03:27

怎么做网站写书,品牌网络推广怎么做,页面设计要会什么,wordpress gzip 和 cache 冲突吗Node.js中JWT的token完整生命周期管理：从生成到销毁在Node.js中使用JWT（JSON Web Token）进行身份验证和授权是一种常见的实践。下面详细介绍JWT从生成到销毁的过程。 JWT生成安装jsonwebtoken库： 要生成JWT，首先…

Node.js中JWT的token完整生命周期管理：从生成到销毁

在Node.js中使用JWT（JSON Web Token）进行身份验证和授权是一种常见的实践。下面详细介绍JWT从生成到销毁的过程。

JWT生成

安装jsonwebtoken库：

要生成JWT，首先需要安装jsonwebtoken库。通过运行以下命令来安装：

npm install jsonwebtoken

创建JWT

在Node.js中生成JWT（JSON Web Token）的过程涉及几个关键步骤，下面将详细介绍这些步骤和相关的技术细节。

1. Header（头部）

JWT的头部通常由两部分组成：令牌的类型（typ）和所使用的签名算法（alg）。例如，对于HS256算法，头部可能如下所示：

{"alg": "HS256","typ": "JWT"
}

这个JSON对象需要被Base64Url编码，以形成JWT的第一个部分。

2. Payload（负载）

负载部分包含了所谓的“声明”（Claims），这些是关于实体（通常是用户）和其他数据的陈述。声明分为三类：注册的声明、公共的声明和私有的声明。例如：

{"sub": "1234567890","name": "John Doe","admin": true
}

这个JSON对象同样需要被Base64Url编码，以形成JWT的第二部分。

3. Signature（签名）

签名是使用Header中指定的签名算法和密钥（Secret）对Header和Payload的编码字符串进行签名的结果。这个过程确保了JWT的完整性和真实性。签名的生成公式如下：

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

这个签名是JWT的第三部分，并且是验证JWT有效性的关键。

4. 组合Header、Payload和Signature

最终，将编码后的Header、Payload和生成的Signature用点（.）连接起来，形成完整的JWT字符串：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

5. 使用jsonwebtoken库生成JWT

在Node.js中，可以使用jsonwebtoken库来简化JWT的生成过程。以下是一个基本示例：

const jwt = require('jsonwebtoken');
const token = jwt.sign({id: 1,username: 'admin'},'secret', // 自定义密钥{expiresIn: '1h' // 过期时间}
);
console.log(token);

在这个示例中，我们使用jwt.sign方法，传入负载（包含用户信息）、密钥和签名选项（如过期时间）来生成JWT。

通过这些步骤，你可以在Node.js应用中生成JWT，用于身份验证和信息交换。生成的JWT可以被客户端存储和使用，直到它过期或被服务器端撤销。

JWT验证

在Node.js中验证JWT的过程涉及几个关键步骤，以下是详细的验证方法：

1. 验证JWT

服务器收到JWT后，需要验证其真实性。使用以下代码验证JWT：

const jwt = require('jsonwebtoken');
const token = 'your-jwt-token';
const secretKey = 'your-secret-key';try {const decoded = jwt.verify(token, secretKey);console.log(decoded);
} catch (error) {console.error('JWT verification failed');
}

在这个过程中，jwt.verify方法会使用提供的secretKey来验证JWT的签名。如果签名验证成功，它会返回JWT的Payload部分，否则会抛出错误。

2. 创建JWT验证中间件

在Express.js中，你可以创建JWT验证中间件来保护特定路由。以下是一个示例：

const jwt = require('jsonwebtoken');
const secretKey = 'your-secret-key';function authenticateToken(req, res, next) {const token = req.header('Authorization');if (!token) return res.status(401).send('Access denied');try {const decoded = jwt.verify(token, secretKey);req.user = decoded;next();} catch (error) {res.status(403).send('Invalid token');}
}

这个中间件函数authenticateToken会检查HTTP请求头中的Authorization字段是否包含JWT。如果JWT存在，它会尝试验证JWT的有效性。如果验证成功，decoded对象（包含JWT的Payload）会被附加到req.user上，以便在后续的请求处理中使用。如果验证失败，会返回403错误。

3. 应用中间件保护路由

你可以将authenticateToken中间件应用到需要保护的路由上，以确保只有验证通过的用户才能访问：

app.get('/protected', authenticateToken, (req, res) => {res.json({ message: 'This is a protected route', user: req.user });
});

在这个例子中，任何尝试访问/protected路由的请求都必须通过authenticateToken中间件的验证。

4. 安全提示

安全存储密钥：密钥是JWT的关键部分，应安全存储。不要硬编码密钥，最好从环境变量或配置文件中读取。
定期刷新令牌：为JWT设置适当的到期时间，以降低安全风险。客户端应定期获取新的JWT令牌。
不要在JWT中存储敏感信息：避免在JWT中存储敏感信息，因为JWT可以被解码。如果需要存储敏感信息，应使用加密而不是签名。

通过这些步骤，你可以在Node.js应用中实现JWT的验证，确保只有持有有效JWT的用户才能访问受限资源。

JWT销毁

客户端销毁：

客户端通常负责销毁存储在本地的JWT，例如在浏览器中清除localStorage或sessionStorage中的token，但是这种方法通常不保险，还需要在后端彻底将推出的jwt销毁。这可以通过设置cookie过期时间来实现：

res.cookie('token', 'none', {expires: new Date(Date.now()),
})

服务端销毁：

由于只在服务端删除浏览器中的localStorage不保险，所以子在服务端也要进行类似的操作，将已经生成的token删除掉。结合本人已经做过的项目代码进行一步步讲解：

1.创建一个tokenmanage表

这个表用来存储每一个登录的账号的登录时间（请求登录接口时候的登录时间）、过期时间（你token设置的过期时间）、用户账号（生成这个token对应的账号，对应用户表的account）

SET FOREIGN_KEY_CHECKS=0;-- ----------------------------
-- Table structure for `tokenmanage`
-- ----------------------------
DROP TABLE IF EXISTS `tokenmanage`;
CREATE TABLE `tokenmanage` (`id` int(8) NOT NULL AUTO_INCREMENT,`token` varchar(255) DEFAULT NULL,`logintime` varchar(255) DEFAULT NULL COMMENT '登录时间',`expiretime` varchar(255) DEFAULT NULL COMMENT '过期时间',`useraccount` varchar(255) DEFAULT NULL COMMENT '用户账号',PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf32;

2. user表加字段

SET FOREIGN_KEY_CHECKS=0;-- ----------------------------
-- Table structure for `users`
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (`id` int(8) NOT NULL AUTO_INCREMENT,`account` varchar(30) DEFAULT NULL,`pwd` varchar(30) DEFAULT NULL,`utype` int(1) DEFAULT NULL COMMENT '类型',`status` tinyint(1) DEFAULT '1' COMMENT '状态：1 正常  0删除',`ctime` varchar(30) DEFAULT NULL COMMENT '创建时间,时间戳',`pfcollege` varchar(30) DEFAULT NULL,`pfgrade` varchar(10) DEFAULT NULL,`pfspeciality` varchar(10) DEFAULT NULL,`pfpart` tinyint(1) DEFAULT NULL,`uname` varchar(10) DEFAULT NULL,`picture` varchar(100) DEFAULT NULL,`logintime` varchar(30) DEFAULT NULL COMMENT '登录时间', PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=36 DEFAULT CHARSET=utf32;

2.登录接口处理

所需模块：

var express = require('express')
var router = express.Router()
var mysql = require('mysql')
// 生成token
const webjwt = require('jsonwebtoken')//  从db文件中导入的数据库模块
var mysql = require("../db/mysql")

登录接口代码：

// 登录接口
router.get('/login', function (req, response) {var body = req.query;console.log(req.query);let { mobile, pwd } = body;console.log(mobile, pwd);// 先查询账号是否存在mysql.query('SELECT account, id, logintime FROM users WHERE account = ?', [mobile], function (error, results) {if (error) {console.log(error);response.json({ code: 1, msg: '数据库查询错误' });return;}if (results.length > 0) {// 如果账号存在的话继续查询账号密码mysql.query('SELECT account, id FROM users WHERE account = ? AND pwd = ?', [mobile, pwd], function (error, results) {if (error) {console.log(error);response.json({ code: 1, msg: '数据库查询错误' });return;}if (results.length > 0) {let user = results[0];// 更新登录时间let now = new Date().getTime(); // 获取当前时间的时间戳，以毫秒为单位mysql.query('UPDATE users SET logintime = ? WHERE id = ?', [now, user.id], function (error, updateResults) {if (error) {console.log(error);response.json({ code: 1, msg: '数据库更新错误' });return;}// 注意默认情况 Token 必须以 Bearer+空格 开头const token = 'Bearer ' + webjwt.sign({uid: user.id,account: user.account},'pwdxpx',{expiresIn: 3600 * 24 * 2// expiresIn: 1 * 60});let threeDaysLater = now + 2 * 24 * 60 * 60 * 1000; // 计算三天后的时间戳// let threeDaysLater = now + 1 * 60 * 1000;// 检查tokenManage表中是否存在对应的useraccount记录，看看这个用户是否登录过mysql.query('SELECT token,logintime,expiretime FROM tokenmanage WHERE useraccount = ?',[user.account],function (error, tokenResults) {console.log(tokenResults[0].logintime, typeof (tokenResults[0].expiretime))if (error) {console.log(error);response.json({ code: 1, msg: '数据库查询错误' });return;}if (tokenResults.length > 0) {// 如果当前账号存在token，那就判断登录时间是否超过了过期时间，// 如果登录token已经过期了，那就删除当前记录if (Number(tokenResults[0].logintime) > Number(tokenResults[0].expiretime)) {// 删除+插入添加/* mysql.query("DELETE FROM tokenmanage WHERE useraccount = ?", [user.account], (error, resultsexpire) => {if (error) console.log(error)console.log("token 验证已经过期了，接下来重新添加")})mysql.query('INSERT INTO tokenmanage (token, logintime, expiretime, useraccount) VALUES (?, ?, ?, ?)',[token, now, threeDaysLater, user.account],function (error, insertTokenResults) {if (error) {console.log(error);} else {console.log("token表添加成功！");}});*/// 直接更新 ~~删除+插入添加mysql.query("UPDATE tokenmanage SET token = ?, logintime = ?, expiretime = ?, useraccount = ?",[token, now, threeDaysLater, user.account],(error, updatetokenResults) => {if (error) {console.log(error);} else {console.log("token表更新成功！");response.json({code: 0, msg: "验证更新-登录完成",data: {userid: user.id,user_account: mobile,status: 'ok',token: token}});}})} else {// 如果登录token没有过期了，那就更新当前记录的登录时间改为最新的时间mysql.query('UPDATE tokenmanage SET logintime = ? WHERE useraccount = ?',[now, user.account],function (error, updateTokenResults) {if (error) {console.log(error);} else {console.log("token表的登录时间更新成功！");}});response.json({code: 0, msg: "登录完成",data: {userid: user.id,user_account: mobile,status: 'ok',token: tokenResults[0].token}});}} else {// 如果当前账号不存在token，那就插入一条新记录mysql.query('INSERT INTO tokenManage (token, logintime, expiretime, useraccount) VALUES (?, ?, ?, ?)',[token, now, threeDaysLater, user.account],function (error, insertTokenResults) {if (error) {console.log(error);} else {console.log("token表添加成功！");}});// 账号密码一致则返回用户需要的数据response.json({code: 0, msg: "登录完成",data: {userid: user.id,user_account: mobile,status: 'ok',token: token}});}});});} else {response.json({code: 1,msg: '用户名或密码不正确',});}});} else {// 账号不存在则提示：账号不存在，请输入正确的账号response.send({ code: 1, msg: '账号不存在，请输入正确的账号' });}});
});

3. 退出接口处理

// 退出接口
router.get('/logout', function (req, res, next) {// 从请求头中获取Authorization字段，并提取tokenconst authHeader = req.headers.authorization;const token = authHeader ? authHeader.split(' ')[1] : null; // 提取tokenif (!token) {return res.status(401).json({ msg: "未提供有效的token", code: 401 });}console.log(token);// 先通过请求头中提供的token，去数据表中根据token字段查找是否存在该记录let sqltoken = `SELECT useraccount, logintime, expiretime FROM tokenmanage WHERE token = ?`;mysql.query(sqltoken, [token], (error, results) => {if (error) {console.log(error);return res.status(500).json({ msg: "服务器错误", code: 500 });} else {// 如果查找语句查出结果代表此token已经存在记录，要做到退出就将此token对应的记录删除即可if (results.length === 0) {return res.status(404).json({ msg: "未找到token", code: 404 });}// 假设你只想返回一个退出成功的消息，而不是整个results对象var msg = { "msg": "退出成功", code: 0 };// 删除tokenmanage表中对应的记录let deleteSql = `DELETE FROM tokenmanage WHERE token = ?`;mysql.query(deleteSql, [token], (deleteError, deleteResults) => {if (deleteError) {console.log(deleteError);return res.status(500).json({ msg: "删除token失败", code: 500 });}// 如果删除成功，返回成功消息res.json(msg);});}});
});

通过上述步骤，你可以在Node.js应用中实现JWT的生成、验证和销毁，从而确保应用的安全性和用户身份的验证。