Node.js:登录后在 URL 中发送带有 token (JWT)的新请求

Question

用户登录并生成 token 后，我想在 header 或类似内容中自动发送它。

到目前为止，我设法生成了 token ，并检查它是否存在以及是否有效，只要我将其网址复制粘贴为“？token =生成的 token ”，它似乎就可以正常工作。

如果不自己将其写入 Postman 的 URL 中，我无法理解如何发送它。

我正在使用这些模块:

• express
• 正文解析器
• Mongoose
• JsonWebToken

所以我很好奇，如果我需要将 token 添加到用户的架构中，我是否可以选择仅在登录时生成 token 。

我现在不想使用 Passport，因为我想先了解基础知识。

搜索了一段时间(包括 jwt 文档)后，我并没有真正找到我可以理解和实现的东西。

所以我在这里，如果有人能引导我朝正确的方向前进，那就太好了。

对于缩进错误深表歉意，并提前致谢。

这是一些代码:

jwt-middleware.js

var jwt = require('jsonwebtoken');
var secret = 'mySecret';
module.exports = function  (req, res, next) {
var token = req.body.token || req.headers['x-access-token'] || req.query.token;

if(!token) {
    return res.status(404).send({error:'No token found'});
} else {
    jwt.verify(token, secret, function(err, decode) {
        if(err) {
            return res.status(500).send({error:'Invalid token'});
        } else {
           // req.decode =  decode;
           decode = jwt.decode(token, {complete:true});
           //console.log(req.headers);
          // req.headers.authorization = token;
          // console.log(req.headers.authorization);
            console.log(decode.header);
            console.log(decode.payload);
            next();
        }
    });
   }
 }

routes/user.js

    var express = require('express');
    var router = express.Router();
    var mongoose = require('mongoose');
    var jwt = require('jsonwebtoken');
    var expressJwt = require('express-jwt');
    var verifyToken = require('../config/jwt-middleware');
    var secret = 'mySecret';


     //Import models
     var User = require('../models/users');


  router.get('/', verifyToken, function (req, res) {
      User.find({}, function (err, storedUsers) {
          if (err) {
              return res.status(500).send({ error: 'No users found' });
          } else {
              return res.status(200).send(storedUsers);
          }
      });

  });


  router.post('/login', function (req, res) {
      User.find().lean().exec(function (err, doc) {
          for (var i = 0; i < doc.length; i++) {
              if (req.body.username == doc[i].username && req.body.password == doc[i].password) {
                  var token = jwt.sign({username:req.body.username}, secret, {expiresIn:'1h'});
                  return res.status(200).send('You\'re now logged in ' + 'with the username: ' + doc[i].username + ' and password: ' + doc[i].password + ' \nJSON token: \n' + token);
             }
          }
                 return res.status(404).send({ error: 'Invalid username or password: ' + req.body.username });
      });
  });

一些屏幕截图:

No token

Login

Manually inserted token

Answer 1

好的，所以我会尝试回答您的问题，尽管我不能 100% 确定我理解您的问题。 JWT 的基本流程是用户登录，然后您发出它。您不存储它，因为 JWT 的全部要点是服务器上没有用于存储它的开销(允许采用更加分布式的用户管理方法)。异常(exception)情况是，如果您想要执行注销功能，但这看起来不是您的要求之一。

从职责的角度来看，您应该有一个登录函数或模块，负责验证用户的凭据并颁发 token 。您应该有一个验证函数或模块来验证 token 并将解码后的 token 放在请求对象上以供以后使用(无需重复解码)。您可能(或可能没有)有一个授权模块来验证是否允许给定用户执行给定任务。

所以，从顶部开始。请注意，您可以让数据库执行查询工作，而不是执行您自己的循环。我还假设您的用户架构将包含一个 verifyPassword 方法，该方法负责比较加盐密码和散列密码。

// login
router.post('/login', function (req, res, next) {
      // note I didn't use lean() because I want access to User methods. Performance is less of an issue in my version, b/c the DB is only retrieving one user at most. 
      User.findOne({ username: req.body.username }).exec(function (err, user) {
          if(err) return next(err); 
          if(!user) return res.status(401).send();
          if (user.verifyPassword(req.body.password)) {
                  // maybe add more info about the user, like display name
                  var token = jwt.sign({username:user.username}, secret, {expiresIn:'1h'});
                  return res.status(200).send({message: 'You are now signed in', token: token});
             }
          }
                 return res.status(404).send({ error: 'Invalid username or password: ' + req.body.username });
      });
  });

现在，客户端将可以更轻松地访问 token ，并可以根据进一步的请求发送它。

// verify
module.exports = function  (req, res, next) {
  // this is fine, though I think the standard is that the token should be sent in the Authorization header with the format Bearer {token}
  var token = req.body.token || req.headers['x-access-token'] || req.query.token;

  if(!token) {
    return next(); // this middleware just is responsible for decoding, other middleware checks authorization
  } else {
    jwt.verify(token, secret, function(err, decode) {
        if(err) {
            return next(); // again, a bad token doesn't necessarily mean anything for some application pages, put the logic elsewhere. 
        } else {
            req.user = decode; // this will be { username } based on above
            req.token = token; // generally you don't need it but just in case. 
            next();
        }
    });
   }
 }

好的，现在进一步的中间件将包括一个 req.user，您可以使用它来检查是否应该允许给定用户查看资源。例如:

function userRequired(req, res, next) {
  if (!req.user) return res.status(401).send({message: 'You must be logged in to view this page' });
  return next();
}

这可以很好地扩展到其他检查，您可以为各种角色等设置一个检查。