本文详细阐述了如何在node.js应用中，利用jwt（json web tokens）和cookie实现持久化的用户登录状态管理，从而避免用户在每次访问时重复登录。通过引入一个认证中间件，我们能够有效地检查用户是否已通过有效令牌进行身份验证，并据此控制页面访问权限，实现无缝的用户体验，同时提供了登出功能和安全实践建议。

引言：持久化登录状态的重要性

在现代Web应用中，用户体验至关重要。频繁要求用户重复登录会极大地降低用户满意度。为了解决这一问题，我们需要一种机制来持久化用户的登录状态，即在用户首次登录后，即使关闭浏览器或离开网站，再次访问时也能保持登录状态，无需重新输入凭据。在Node.js环境中，结合JWT（JSON Web Tokens）和HTTP Cookie是实现这一目标的常用且高效的方法。

现有认证机制概述

在提供的代码中，我们已经看到了一个基本的认证流程，它涵盖了用户注册、登录、密码哈希、JWT生成以及将JWT存储在Cookie中的步骤。

1. 用户注册 (createUser):

   • 接收用户名和密码。
   • 使用 bcrypt 对密码进行哈希处理（在 schema2.pre('s*e') 钩子中实现）。
   • 将用户信息保存到MongoDB数据库。

2. 用户登录 (loginUser):

   • 接收用户名和密码。
   • 通过用户名查找用户。
   • 使用 bcrypt.compare 验证密码。
   • 如果验证成功，调用 findUser.generateJWTToken() 生成JWT。
   • 将生成的JWT通过 res.cookie("node1", vToken) 存储在一个名为 node1 的HTTP Cookie中。
   • 渲染 home 页面。

3. JWT生成 (generateJWTToken 方法在 userModel 中):

   • 使用 jwt.sign 方法生成一个包含用户ID的JWT。
   • 将生成的令牌保存到用户模型的 tokens 数组中，以便于管理和撤销。
   • 返回生成的令牌。

这个流程成功地完成了用户认证和令牌的颁发。然而，当前的问题在于，尽管Cookie中存储了有效的JWT，但应用程序并没有在用户访问需要认证的页面（例如登录页面本身）之前检查这个Cookie，导致用户每次访问时都可能看到登录表单。

解决方案：引入认证中间件

为了实现持久化登录状态和免登录访问，我们需要一个中间件函数。这个中间件会在请求到达特定路由之前执行，负责检查用户请求中是否存在有效的认证Cookie。如果存在且有效，就直接将用户重定向到已登录后的页面（例如主页）；否则，才允许请求继续处理，例如渲染登录表单。

1. 创建认证中间件 (middleware.js)

首先，创建一个名为 middleware.js 的文件，并在其中定义 isLoggedIn 函数。

// middleware.js
const jwt = require('jsonwebtoken');

module.exports.isLoggedIn = async (req, res, next) => {
    try {
        // 尝试从请求的cookies中获取名为'node1'的JWT
        const token = req.cookies ? req.cookies.node1 : null;

        // 如果存在token，则尝试验证其有效性
        // "FULLSTACKWEBDEVELOPMENTMEANMERNBATCH" 必须与生成JWT时使用的密钥相同
        const decoded = token ? jwt.verify(token, "FULLSTACKWEBDEVELOPMENTMEANMERNBATCH") : null;

        // 如果JWT有效（即decoded不为null），说明用户已登录
        if (decoded) {
            // 将用户信息附加到请求对象，以便后续路由使用
            // req.user = decoded.id; // 可以根据需要添加
            // 直接重定向到用户主页，避免再次显示登录/注册页面
            return res.redirect('/home');
        }

        // 如果没有有效的token，则用户未登录，允许请求继续到下一个中间件或路由处理器
        next();
    } catch (err) {
        // 捕获JWT验证失败（如token过期、无效签名）或其他错误
        // 在这种情况下，用户被视为未登录，可以重定向到登录页或允许渲染登录页
        console.error("Authentication middleware error:", err.message);
        // next(); // 也可以选择调用next()，让原始路由处理，例如渲染登录页
        res.render("login"); // 或者直接渲染登录页
    }
};

中间件解析：

• req.cookies.node1: 尝试从请求的Cookie中获取之前登录时设置的 node1 Cookie，它包含了JWT。
• jwt.verify(token, "YOUR_SECRET_KEY"): 这是核心步骤，用于验证JWT的签名和有效性。"FULLSTACKWEBDEVELOPMENTMEANMERNBATCH" 必须与你在 userModel 的 generateJWTToken 方法中用于 jwt.sign 的密钥完全一致。如果验证成功，decoded 将包含JWT的载荷（payload），通常是用户ID。如果验证失败（例如，令牌过期或被篡改），它将抛出错误。
• if (decoded): 如果 decoded 存在，说明用户已成功认证，并且令牌仍然有效。此时，我们直接使用 res.redirect('/home') 将用户重定向到主页，从而实现“免登录”的效果。
• next(): 如果 decoded 不存在（即没有有效的JWT），则调用 next()，允许请求继续处理下一个中间件或路由处理器。这意味着，如果请求是访问 /login 或 /reg 页面，那么这些页面将会被正常渲染。
• try...catch: 用于捕获 jwt.verify 可能抛出的错误，例如令牌过期（TokenExpiredError）或签名无效（JsonWebTokenError）。在这些情况下，用户也应该被视为未登录。

2. 在路由中集成中间件

接下来，将这个中间件应用到需要控制访问的路由上，特别是那些在用户已登录时不应再次显示的页面，如登录页和注册页。

察言观数AskTable

企业级AI数据表格智能体平台

78 查看详情

// routes.js (或你的主应用文件)
const express = require("express");
const router = express.Router();
const { isLoggedIn } = require("./middleware"); // 导入中间件
// ... 其他导入和配置

// 登录页面路由：如果用户已登录，isLoggedIn中间件会将其重定向到/home
router.get("/login", isLoggedIn, (req, res) => {
    res.render("login"); // 如果isLoggedIn没有重定向，则渲染登录页
});

// 注册页面路由：同上
router.get("/reg", isLoggedIn, (req, res) => {
    res.render("userRegister"); // 如果isLoggedIn没有重定向，则渲染注册页
});

// 用户登录API路由（保持不变，因为它处理表单提交，不直接渲染页面）
router.post("/api/userlogin", urlencodedParser, vUserController.loginUser);

// 假设有一个主页路由，用于显示登录后的内容
router.get("/home", (req, res) => {
    // 这里可以添加一个保护，确保只有登录用户才能访问
    // 例如：另一个中间件来验证所有受保护路由
    res.render("home", { message: "欢迎回来！" });
});

// ... 其他路由

通过这种方式，当用户尝试访问 /login 或 /reg 路由时：

• 如果 node1 Cookie中包含有效的JWT，isLoggedIn 中间件会立即将用户重定向到 /home。
• 如果 node1 Cookie不存在或JWT无效，isLoggedIn 会调用 next()，允许请求继续，最终渲染 /login 或 /userRegister 页面。

实现登出功能

为了提供完整的用户体验，还需要一个登出（Logout）功能。登出操作的核心是清除客户端存储的认证Cookie。

// routes.js (或你的主应用文件)
// ... 其他路由

// 登出路由
router.get('/logout', async (req, res) => {
    // 清除名为 'node1' 的Cookie
    res.clearCookie('node1');
    // 重定向到登录页面
    res.redirect("/login");
});

当用户访问 /logout 路由时，res.clearCookie('node1') 会指示浏览器删除该Cookie，从而使用户的会话失效。随后，用户被重定向到登录页面。

注意事项与最佳实践

1. JWT密钥安全: 用于签名和验证JWT的密钥（"FULLSTACKWEBDEVELOPMENTMEANMERNBATCH"）必须高度保密。在生产环境中，应将其存储在环境变量中，而不是硬编码在代码中。

2. Cookie安全:

   • httpOnly: true: 在设置Cookie时，务必添加 httpOnly: true 选项，防止客户端J*aScript访问Cookie，从而降低XSS攻击的风险。
   • secure: true: 如果你的应用运行在HTTPS上，应设置 secure: true，确保Cookie只通过加密连接发送。
   • sameSite: 'Lax' 或 'Strict': 防止CSRF攻击。

3. JWT过期时间: 在 jwt.sign 时设置 expiresIn 选项，例如 expiresIn: '1h' 或 expiresIn: '7d'，以限制令牌的有效期。过期后，用户需要重新登录。

4. 保护所有受认证路由: isLoggedIn 中间件的当前实现主要用于防止已登录用户访问登录/注册页面。对于所有需要用户认证才能访问的页面或API，你也应该应用一个类似的认证中间件（可能略有不同，例如不重定向，而是返回401 Unauthorized）。

   // 例如，一个用于保护通用路由的中间件
   module.exports.isAuthenticated = async (req, res, next) => {
       try {
           const token = req.cookies ? req.cookies.node1 : null;
           const decoded = token ? jwt.verify(token, "FULLSTACKWEBDEVELOPMENTMEANMERNBATCH") : null;
           if (decoded) {
               req.user = decoded.id; // 将用户ID附加到请求对象
               return next(); // 允许访问
           }
           // 如果没有有效token，重定向到登录页或返回错误
           res.redirect('/login'); 
           // 或者 res.status(401).send("Unauthorized");
       } catch (err) {
           console.error("Protected route auth error:", err.message);
           res.redirect('/login');
           // 或者 res.status(401).send("Unauthorized");
       }
   };
   
   // 在路由中使用
   router.get("/dashboard", isAuthenticated, (req, res) => {
       res.render("dashboard", { userId: req.user });
   });

5. 错误处理: 在 catch 块中，除了 console.error，还可以根据具体需求进行更精细的错误处理，例如向用户显示友好的错误消息。

总结

通过引入一个简单的 isLoggedIn 认证中间件，并结合已有的JWT和Cookie机制，我们成功地解决了Node.js应用中重复登录的问题。这个中间件能够智能地检测用户的登录状态，并根据情况进行重定向或允许页面渲染，极大地提升了用户体验。同时，实现登出功能和遵循安全最佳实践，可以确保认证系统的健壮性和安全性。

以上就是Node.js中基于JWT和Cookie实现持久化登录状态管理与免登录访问的详细内容，更多请关注其它相关文章！

# java  # 云南网站推广推荐厂家  # 辽宁自制营销推广方法  # 连接到  # 不存在  # 如果没有  # 下一  # 将其  # 用户登录  # 表单  # 置顶  # 重定向  # 编  # javascript  # js  # node.js  # json  # node  # go  # mongodb  # cookie  # 处理器  # 令牌  # 营销推广协议合同  # 辅导机构营销推广模式  # 网站怎么做推广好呢  # 发型网站建设学校教案  # 塔城百度seo  # 霍州网站推广  # 学院网站建设优化建议  # 嘉兴网站建设与运营 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： Win10如何清理注册表垃圾 Win10注册表维护与优化指南【慎用】  如何在网页中实现特定地点的随机图片展示  LINUX的I/O重定向是什么_深入理解LINUX中 >、>> 与 < 的区别  如何在J*a中使用Locale处理多语言环境  iCloud登录入口网页版 苹果iCloud官网登录  C#使用XPath查询节点时出错？ 常见语法错误与调试技巧  composer 和 npm/yarn 在管理依赖方面有什么核心思想差异？  Yandex搜索引擎官网入口_俄罗斯Yandex免登录一键直达  J*a里如何实现订单支付与库存同步功能_支付库存同步项目开发方法说明  想当下一个《2077》？《心之眼》Steam评价升至"多半好评"  html两个JS只运行一个怎么办_让双JS在html中都运行方法【技巧】  自定义Bag-of-Words实现：处理带负号的词汇权重  Mac怎么锁定备忘录_Mac备忘录加密设置教程  Golang如何优化内存分配与垃圾回收_Golang内存管理与GC优化实践  mysql如何设置表访问权限_mysql表访问权限配置  Python vgamepad库按键模拟：正确使用XUSB_BUTTON常量  Win11 USB传输速度慢怎么解决 Win11 USB驱动更新与设置  wps文字怎么插入目录并自动更新_wps文字如何插入目录并自动更新方法  创客贴用户入口官网登录 创客贴网页版电脑版系统  Win11怎么修改默认浏览器_Windows 11设置Chrome为默认  高德地图公交到站提醒失败如何解决 高德提醒权限设置  京东单号查询入口_京东快递订单追踪入口  mcjs网页版流畅运行 mcjs低配电脑畅玩入口  单12V-2&#215;6实现为RTX 5090供电750W！甚至都没敢跑分  AO3官方在线访问地址 Archive of Our Own最新镜像合集  拼多多购物车商品数量无法修改如何处理 拼多多购物车操作优化方法  CKEditor 5 自定义构建在React应用中渲染失败的调试与解决  黑鲨3Pro怎样在相册开漫画风滤镜_iPhone黑鲨3Pro相册开漫画风滤镜【趣味滤镜】  如何创建没有密码的Windows本地账户_跳过微软账户登录的技巧【教程】  age动漫网站入口 age动漫官网直接访问入口  Flexbox布局实践：实现粘性导航栏与底部固定页脚  qq游戏大厅官方下载_qq游戏免费下载安装入口  铃兰之剑为这和平的世界希里技能组及加点推荐  《主播少女的秘密账号迷宫》首支宣传片  PDF文件体积过大处理_PDF压缩技巧详解  《燕云十六声》两周内达九百万玩家！位居畅销榜第五  AO3网页版合集入口 Archive of Our Own同人作品浏览指南  AO3官方可用镜像 Archive of Our Own网页版最新入口  J*aScript实现单选按钮与关联输入框的联动禁用教程  Win11怎么关闭快速启动_Win11彻底关机设置教程  在Qt QML中通过Python字典动态更新TextEdit内容的教程  妖精动漫免费平台 妖精动漫官网资源观看网址  QQ邮箱官方邮箱登录入口 QQ邮箱网页版快速访问  b站怎么删除评论_b站评论管理与删除操作  Win10磁盘清理工具在哪 Win10打开并使用磁盘清理【教程】  Python Socket多播通信中指定源IP地址的实践指南  UC浏览器如何安装插件 UC浏览器添加扩展程序详细教程【进阶】  AI抖音网页版免费视频入口 AI抖音网页端最新视频实时观看  word邮件合并后日期格式不对怎么改_Word邮件合并日期格式修改方法  汽水音乐在线版入口_汽水音乐网页播放手册