答案:通过jsonwebtoken库实现JWT认证中间件,验证Authorization头中的Bearer Token合法性。首先安装express和jsonwebtoken,登录时用jwt.sign生成带过期时间的Token;中间件authenticateToken解析请求头,提取并用jwt.verify校验签名与有效期,成功后挂载用户信息至req.user,失败则返回401或403;最后将中间件应用于需保护的路由。建议密钥由环境变量管理,前端正确携带Bearer Token,确保安全性和稳定性。
要实现一个支持JWT的认证中间件,核心是验证请求头中的Token是否合法。Node.js结合jsonwebtoken库可以轻松完成这项任务。下面是一个实用且结构清晰的实现方式。
安装依赖
使用npm安装jsonwebtoken和express:
- npm install express jsonwebtoken
- npm install --save-dev dotenv
生成和验证Token的基本逻辑
在用户登录成功后,服务端签发JWT;后续请求需携带该Token,中间件负责验证其有效性。
示例代码:
const jwt = require('jsonwebtoken');
const SECRET_KEY = 'your-secret-key'; // 建议从环境变量读取
// 登录接口:生成Token
function login(req, res) {
const { username } = req.body;
const token = jwt.sign({ username }, SECRET_KEY, { expiresIn: '1h' });
res.json({ token });
}
编写JWT认证中间件
中间件检查请求头Authorization是否存在,格式是否为Bearer <token>,并验证签名和过期时间。
function authenticateToken(req, res, next) {
const authHeader = req.headers['authorization'];
const token = authHeader && authHeader.split(' ')[1]; // Bearer TOKEN
if (!token) {
return res.status(401).json({ error: 'Access token required' });
}
jwt.verify(token, SECRET_KEY, (err, user) => {
if (err) {
return res.status(403).json({ error: 'Invalid or expired token' });
}
req.user = user; // 将解码后的用户信息挂载到req对象
next();
});
}
在Express路由中使用中间件
将中间件应用到需要保护的路由上。
const express = require('express');
const app = express();
app.use(express.json());
// 公开接口(无需认证)
app.post('/login', login);
// 受保护接口(使用中间件)
app.get('/profile', authenticateToken, (req, res) => {
res.json({ message: `Welcome ${req.user.username}` });
});
app.listen(3000, () => {
console.log('Server running on port 3000');
});
基本上就这些。只要确保密钥安全、Token合理设置过期时间,并在前端正确传递,这套机制就能稳定运行。不复杂但容易忽略细节,比如空header处理和错误类型区分。
