Node.js实现JWT认证的流程步骤

 更新时间:2025年06月24日 09:19:28   作者:盛夏绽放  
JSON Web Tokens (JWT) 是现代 Web 开发中广泛使用的身份验证机制,本文将用生动的方式带你全面了解 JWT 在 Node.js 中的实现,包括生成、验证和各种相关方法,需要的朋友可以参考下

一、JWT 是什么?为什么需要它?

想象一下你去参加一个音乐会,入场时需要出示门票。这张门票包含你的座位信息,并有防伪标识。JWT 就像这张数字门票:

  • 包含信息:存储用户身份数据(如用户ID)
  • 防伪标识:通过签名防止篡改
  • 有效期:像门票一样有使用期限

传统 session 与 JWT 对比

特性SessionJWT
存储位置服务器内存/数据库客户端
扩展性跨服务器共享困难天然支持分布式
跨域支持需要额外配置原生支持
移动端友好度一般非常好
安全性依赖 Cookie 安全依赖 Token 存储方式

二、JWT 的结构解析

一个 JWT 看起来像这样:
xxxxx.yyyyy.zzzzz

它由三部分组成,用点(.)分隔:

Header (头部) - xxxxx

{
  "alg": "HS256",  // 签名算法
  "typ": "JWT"     // 令牌类型
}

Payload (负载) - yyyyy

{
  "sub": "1234567890",  // 主题(用户ID)
  "name": "John Doe",    // 自定义数据
  "iat": 1516239022     // 签发时间
}

Signature (签名) - zzzzz

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

可视化流程

[Header JSON] → Base64编码 → xxxxx
[Payload JSON] → Base64编码 → yyyyy
[xxxxx.yyyyy + 密钥] → 签名算法 → zzzzz
最终令牌:xxxxx.yyyyy.zzzzz

三、Node.js 中实现 JWT

1. 安装 jsonwebtoken 包

const jwt = require('jsonwebtoken');
const secret = 'your-secret-key'; // 应该存储在环境变量中

// 用户登录成功后生成token
function generateToken(user) {
  return jwt.sign(
    {
      userId: user.id,
      username: user.username,
      role: user.role
    },
    secret,
    {
      expiresIn: '1h', // 1小时后过期
      issuer: 'your-company', // 签发者
      audience: 'your-app-name' // 接收方
    }
  );
}

参数详解表

参数类型必填说明
payloadObject/String要编码的数据
secretString签名密钥
optionsObject配置选项

常用 options

选项示例值说明
expiresIn‘1h’/‘15m’/‘7d’有效期
algorithm‘HS256’签名算法
issuer‘your-app’签发者
audience‘client-app’接收方
subject‘user-auth’主题

3. 验证 JWT

function verifyToken(token) {
  try {
    return jwt.verify(token, secret, {
      issuer: 'your-company',
      audience: 'your-app-name'
    });
  } catch (err) {
    console.error('Token验证失败:', err.message);
    return null;
  }
}

// 使用示例
const token = generateToken({id: 1, username: 'john', role: 'admin'});
const decoded = verifyToken(token);

验证流程示意图

客户端请求 → [携带Token] → 服务器
       ↓
[提取Authorization头]
       ↓
[拆分Bearer和Token]
       ↓
[jwt.verify()验证]
       ↓
[有效] → 继续处理请求
       ↓
[无效] → 返回401错误

4. 错误处理大全

JWT 验证可能抛出以下错误:

错误类型触发条件处理建议
JsonWebTokenError无效token返回401
TokenExpiredErrortoken过期返回401,提示刷新
NotBeforeError未到生效时间等待或返回403
SyntaxErrortoken格式错误返回400

错误处理增强版

function handleTokenError(err) {
  switch(err.name) {
    case 'JsonWebTokenError':
      return { status: 401, message: '无效令牌' };
    case 'TokenExpiredError':
      return { status: 401, message: '令牌已过期,请重新登录' };
    case 'NotBeforeError':
      return { status: 403, message: '令牌尚未生效' };
    default:
      return { status: 400, message: '令牌处理错误' };
  }
}

四、高级应用场景

1. 刷新令牌机制

[登录成功]
  ↓
[发放 access_token (短有效期) + refresh_token (长有效期)]
  ↓
[access_token过期] → [用refresh_token获取新access_token]
  ↓
[refresh_token过期] → [要求重新登录]

实现代码:

// 生成令牌对
function generateTokenPair(user) {
  const accessToken = jwt.sign(
    { userId: user.id }, 
    secret, 
    { expiresIn: '15m' }
  );
  
  const refreshToken = jwt.sign(
    { userId: user.id, tokenType: 'refresh' },
    secret,
    { expiresIn: '7d' }
  );
  
  return { accessToken, refreshToken };
}

// 刷新access token
function refreshAccessToken(refreshToken) {
  const decoded = jwt.verify(refreshToken, secret);
  if (decoded.tokenType !== 'refresh') {
    throw new Error('非法的refresh token');
  }
  return jwt.sign({ userId: decoded.userId }, secret, { expiresIn: '15m' });
}

2. 在不同路由中的验证中间件

// 基础验证中间件
function authenticateJWT(req, res, next) {
  const authHeader = req.headers.authorization;
  
  if (authHeader) {
    const token = authHeader.split(' ')[1];
    
    jwt.verify(token, secret, (err, user) => {
      if (err) {
        const error = handleTokenError(err);
        return res.status(error.status).json(error);
      }
      
      req.user = user;
      next();
    });
  } else {
    res.sendStatus(401);
  }
}

// 角色检查中间件
function requireRole(role) {
  return (req, res, next) => {
    if (req.user?.role !== role) {
      return res.status(403).json({ message: '权限不足' });
    }
    next();
  };
}

// 使用示例
router.get('/admin', authenticateJWT, requireRole('admin'), (req, res) => {
  res.json({ message: '欢迎管理员' });
});

五、安全最佳实践

密钥管理

  • 永远不要将密钥硬编码在代码中
  • 使用环境变量或密钥管理服务
  • 定期轮换密钥

Token 存储

  • 前端:使用 HttpOnly + Secure 的 Cookie 比 localStorage 更安全
  • 避免在 URL 中传递 token

额外安全措施

// 示例:增加IP绑定
function generateToken(user, ip) {
  return jwt.sign({
    userId: user.id,
    ip: ip // 绑定用户当前IP
  }, secret, { expiresIn: '1h' });
}

function verifyToken(token, ip) {
  const decoded = jwt.verify(token, secret);
  if (decoded.ip !== ip) {
    throw new Error('IP地址不匹配');
  }
  return decoded;
}

六、常见问题解答

Q: JWT 和 Session Cookie 哪个更好?

A: 没有绝对的好坏,取决于场景:

  • 需要分布式/无状态 → JWT
  • 需要即时撤销 → Session
  • 移动端应用 → JWT
  • 传统Web应用 → 两者皆可

Q: JWT 过期后如何处理?

A: 两种方案:

  • 让用户重新登录
  • 使用refresh token机制自动获取新token

Q: 如何实现强制下线?

A: JWT 本身难以实现,可以考虑:

  • 使用短有效期 + refresh token
  • 维护一个黑名单(部分牺牲无状态特性)
  • 在token中存储版本号,修改版本号使旧token失效

七、完整示例代码

const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
require('dotenv').config();

const SECRET = process.env.JWT_SECRET || 'fallback-secret';
const PORT = process.env.PORT || 3000;

// 模拟用户数据库
const users = [
  { id: 1, username: 'admin', password: 'admin123', role: 'admin' },
  { id: 2, username: 'user', password: 'user123', role: 'user' }
];

app.use(express.json());

// 登录路由
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  const user = users.find(u => u.username === username && u.password === password);
  
  if (!user) {
    return res.status(401).json({ message: '用户名或密码错误' });
  }
  
  const token = jwt.sign(
    { userId: user.id, role: user.role },
    SECRET,
    { expiresIn: '15m' }
  );
  
  res.json({ token });
});

// 受保护路由
app.get('/profile', authenticateJWT, (req, res) => {
  const user = users.find(u => u.id === req.user.userId);
  res.json({ 
    id: user.id,
    username: user.username,
    role: user.role
  });
});

// 管理员路由
app.get('/admin-stats', authenticateJWT, (req, res, next) => {
  if (req.user.role !== 'admin') {
    return res.status(403).json({ message: '需要管理员权限' });
  }
  res.json({ stats: '敏感管理数据' });
});

// JWT验证中间件
function authenticateJWT(req, res, next) {
  const authHeader = req.headers.authorization;
  
  if (authHeader && authHeader.startsWith('Bearer ')) {
    const token = authHeader.split(' ')[1];
    
    jwt.verify(token, SECRET, (err, user) => {
      if (err) {
        const error = handleTokenError(err);
        return res.status(error.status).json(error);
      }
      
      req.user = user;
      next();
    });
  } else {
    res.status(401).json({ message: '需要认证令牌' });
  }
}

// 错误处理函数
function handleTokenError(err) {
  switch(err.name) {
    case 'JsonWebTokenError':
      return { status: 401, message: '无效令牌' };
    case 'TokenExpiredError':
      return { status: 401, message: '令牌已过期,请重新登录' };
    default:
      return { status: 400, message: '令牌处理错误' };
  }
}

app.listen(PORT, () => {
  console.log(`服务器运行在 http://localhost:${PORT}`);
});

结语

JWT 就像数字世界的护照,它轻巧、自包含且安全。通过本文的学习,你应该已经掌握了:

  • JWT 的结构和工作原理
  • 如何在 Node.js 中生成和验证 JWT
  • 各种相关方法和配置选项
  • 高级应用场景和安全实践

记住,没有绝对安全的系统,JWT 只是工具,合理的使用方式和适当的安全措施才是关键。现在就去你的 Node.js 项目中实践这些知识吧!

以上就是Node.js实现JWT认证的流程步骤的详细内容,更多关于Node.js JWT认证的资料请关注脚本之家其它相关文章!

相关文章

  • 一文秒懂nodejs中的异步编程

    一文秒懂nodejs中的异步编程

    这篇文章主要介绍了深入理解nodejs中的异步编程,本文给大家介绍的非常想详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-01-01
  • node异步使用await和不用await的区别实例分析

    node异步使用await和不用await的区别实例分析

    这篇文章主要介绍了node异步使用await和不用await的区别,结合实例形式分析了node.js异步使用await和不用await的实例中,同步与异步执行的区别,需要的朋友可以参考下
    2023-06-06
  • 浅谈Node.js 子进程与应用场景

    浅谈Node.js 子进程与应用场景

    这篇文章主要介绍了浅谈Node.js 子进程与应用场景,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-01-01
  • express框架+bootstrap美化ejs模板实例分析

    express框架+bootstrap美化ejs模板实例分析

    这篇文章主要介绍了express框架+bootstrap美化ejs模板,结合实例形式分析了express框架引入bootstrap结合ejs模版引擎相关操作技巧与注意事项,需要的朋友可以参考下
    2023-05-05
  • 如何写Node.JS版本小游戏

    如何写Node.JS版本小游戏

    JavaScript的出现催动了前端开发的萌芽,前后端分离促进了Vue、React等开发框架的发展,Weex、React-Native等的演变赋予了并存多端开发的能力,而Node.JS的面世无疑是推动了Web全栈开发的步伐。
    2021-05-05
  • 详解使用Node.js 将txt文件转为Excel文件

    详解使用Node.js 将txt文件转为Excel文件

    这篇文章主要介绍了详解使用Node.js 将txt文件转为Excel文件,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-07-07
  • 初始Nodejs

    初始Nodejs

    本文属于nodejs的基础知识介绍篇,从nodejs的基本概念,到架构示意图,同步异步等方面做了详细的解答,是篇非常不错的文章
    2014-11-11
  • Node.js 连接 MySql 统计组件属性的使用情况解析

    Node.js 连接 MySql 统计组件属性的使用情况解析

    这篇文章主要为大家介绍了Node.js 连接 MySql 统计组件属性的使用情况解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-10-10
  • node.js使用express-jwt报错:expressJWT is not a function解决

    node.js使用express-jwt报错:expressJWT is not a function解决

    这篇文章主要给大家介绍了关于node.js使用express-jwt报错:expressJWT is not a function解决的相关资料,文中通过实例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2023-03-03
  • Nodejs异步回调之异常处理实例分析

    Nodejs异步回调之异常处理实例分析

    这篇文章主要介绍了Nodejs异步回调之异常处理,结合实例形式分析了nodejs基于中间件进行异步回调异常处理过程出现的问题与相应的解决方法,需要的朋友可以参考下
    2018-06-06

最新评论