使用 jsonwebtoken
插件,生成 JWT 的 Token 字符串。
注意:在生成 Token 字符串的时候,一定要剔除 密码 等无关属性的值
// 剔除之后,user 中只保留了除 password 和 user_pic 之外的属性值 const user = { ...results[0], password: '', user_pic: '' }
npm i jsonwebtoken@8.5.1
jsonwebtoken
:const jwt = require('jsonwebtoken')
(config.js)
,存放并向外共享 加密 和 还原 Token 的 jwtSecretKey
字符串 (密钥):module.exports = { jwtSecretKey: 'wjy00 ^_^', }
// 导入配置文件 const config = require('../config') // 生成 Token 字符串 const tokenStr = jwt.sign(user, config.jwtSecretKey, { expiresIn: '10h', // token 有效期为 10 个小时 })
res.send({ status: 0, message: '登录成功!', // 为了方便客户端使用 Token,在服务器端直接拼接上 Bearer 的前缀 token: 'Bearer ' + tokenStr, })
使用 express-jwt
插件,解析前端发送的 Token 字符串
npm i express-jwt@5.3.3
app.js
中注册路由之前,配置解析 Token 的中间件:// 导入配置文件 const config = require('./config') // 解析 token 的中间件 const expressJWT = require('express-jwt') // 使用 .unless({ path: [/^\/api\//] }) 指定哪些接口不需要进行 Token 的身份认证 app.use(expressJWT({ secret: config.jwtSecretKey }).unless({ path: [/^\/api\//] }))
app.js
中的 错误级别中间件
里面,捕获并处理 Token 认证失败后的错误:// 错误中间件 app.use(function (err, req, res, next) { // 省略其它代码... // 捕获身份认证失败的错误 if (err.name === 'UnauthorizedError') return res.cc('身份认证失败!') // 未知错误... })