JWT（JSON Web Token）是一種用于實(shí)現(xiàn)身份驗(yàn)證和授權(quán)的開放標(biāo)準(zhǔn)。它是一種基于JSON的安全傳輸數(shù)據(jù)的方式，由三部分組成：頭部、載荷和簽名。

使用jsonwebtoken模塊，你可以在Node.js應(yīng)用程序中輕松生成和驗(yàn)證JWT。以下是jsonwebtoken庫的使用步驟：

1. 安裝jsonwebtoken模塊：在命令行中運(yùn)行npm install jsonwebtoken來安裝jsonwebtoken模塊。

2. 導(dǎo)入jsonwebtoken模塊：在你的Node.js應(yīng)用程序中，使用require語句導(dǎo)入jsonwebtoken模塊。

const jwt = require('jsonwebtoken');

3. 生成JWT：使用jsonwebtoken的sign方法生成JWT。該方法接受三個(gè)參數(shù)：載荷（Payload）、密鑰和可選的配置對(duì)象。載荷是一個(gè)包含有關(guān)用戶/客戶端的信息的對(duì)象。

const payload = {userId: '123456789',username: 'example_user'
};const secretKey = 'your_secret_key';const token = jwt.sign(payload, secretKey, { expiresIn: '1h' });

上述代碼將生成一個(gè)JWT，其中包含了userId和username信息，使用了一個(gè)密鑰進(jìn)行簽名，并設(shè)置了過期時(shí)間為1小時(shí)。生成的JWT將作為一個(gè)字符串存儲(chǔ)在token變量中。

4. 驗(yàn)證JWT：使用jsonwebtoken的verify方法驗(yàn)證JWT的有效性。該方法接受三個(gè)參數(shù)：要驗(yàn)證的JWT、密鑰和一個(gè)可選的回調(diào)函數(shù)。

const token = 'your_generated_jwt';jwt.verify(token, secretKey, (err, decoded) => {if (err) {// JWT驗(yàn)證失敗console.log('JWT verification failed.');} else {// JWT驗(yàn)證成功console.log('JWT verified successfully.');console.log(decoded); // 解碼后的JWT負(fù)載}
});

上述代碼將驗(yàn)證傳入的JWT是否有效，并使用提供的密鑰進(jìn)行簽名驗(yàn)證。如果JWT有效，verify方法回調(diào)函數(shù)中的decoded參數(shù)將包含解碼后的JWT負(fù)載信息。如果JWT無效，則會(huì)在回調(diào)函數(shù)中得到一個(gè)錯(cuò)誤。

以下是 JWT 的一個(gè)簡(jiǎn)單的封裝：

//jsonwebtoken 封裝const jsonwebtoken = require("jsonwebtoken")
// 設(shè)置密鑰
const secret = "anydata"
const JWT = {// 生成 tokengenerate(value,exprires){// value 數(shù)據(jù)，expires 過期時(shí)間return jsonwebtoken.sign(value,secret,{expiresIn:exprires})},// 校驗(yàn) tokenverify(token){// 放在 try...catch... 中，防止報(bào)錯(cuò)try{return jsonwebtoken.verify(token,secret)}catch(error){return false}}
}module.exports = JWT

const token = JWT.generate('xx', '10s')
// eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjoieHgiLCJpYXQiOjE2OTc0Mzk3MTEsImV4cCI6MTY5NzQzOTcyMX0.vfcaK_tHfbD-58nqcDRopg516jngqWJhw6zr229zACM
// header.數(shù)據(jù).簽名
console.log(JWT.verify(token))

// node 中間件校驗(yàn)
app.use((req,res,next)=>{// 如果token有效 ,next() // 如果token過期了, 返回401錯(cuò)誤if(req.url==="/login"){next()return;}const token = req.headers["authorization"]?.split(" ")[1]if(token){var payload = JWT.verify(token)// console.log(payload)if(payload){const newToken = JWT.generate({_id:payload._id,username:payload.username},"1d")res.header("Authorization",newToken)next()}else{// errCode 和 errInfo 是 network 的 preview 中返回的數(shù)據(jù)res.status(401).send({errCode:"-1",errInfo:"token過期"})}}
})

 //生成token
const token = JWT.generate({_id: result[0]._id,username: result[0].username
}, "1d")res.header("Authorization", token)

//前端攔截
import axios from 'axios'
// Add a request interceptor
axios.interceptors.request.use(function (config) {const token = localStorage.getItem("token")config.headers.Authorization = `Bearer ${token}`return config;}, function (error) {return Promise.reject(error);});// Add a response interceptor
axios.interceptors.response.use(function (response) {const {authorization } = response.headersauthorization && localStorage.setItem("token",authorization)return response;}, function (error) {const {status} = error.responseif(status===401){// 移除本地失效的 token 值，由于過期而失效localStorage.removeItem("token")window.location.href="/login"}return Promise.reject(error);});

業(yè)務(wù)邏輯：

1. 后端下載、導(dǎo)入模塊 npm i jsonwebtoken
2. 封裝生成token、驗(yàn)證token方法
3. 登錄接口中將前端提供的字段生成token并放到登錄接口響應(yīng)頭中
4. 前端將token存儲(chǔ)(并在每個(gè)請(qǐng)求的請(qǐng)求頭中加入token，請(qǐng)求攔截添加token，響應(yīng)攔截存儲(chǔ)token)
5. 后端設(shè)置應(yīng)用級(jí)中間件
   5.1. 排除登錄接口、路由
   5.2. 獲取前端傳過來的請(qǐng)求頭并判斷狀態(tài)
   5.2.1. 有token：重新設(shè)置token并放在響應(yīng)頭傳給前端(刷新過期時(shí)間)
   5.2.2. 無token：返回401給前端
6. 前端響應(yīng)攔截：無401跳轉(zhuǎn)登錄頁并置空本地token