本文共 706 字，大约阅读时间需要 2 分钟。

Passport JWT身份验证策略简介

Passport的JWT身份验证策略是一个强大的工具，用于保护没有会话的RESTful端点。该策略通过验证JSON Web令牌（JWT），确保当前访问用户已被正确认证和授权，适用于那些需要快速身份验证的API接口。

安装

在开始使用之前，需要通过npm安装passport-jwt：

npm install passport-jwt

确保Node.js环境已准备就绪，并处于项目目录中执行命令。

使用说明

配置

在使用passport-jwt之前，需要先构建JWT策略。以下是一个基本的策略构造示例：

const jwtStrategy = new JwtStrategy({  secretOrKey: 'your-secret-key',  issuer: 'your-issuer',}, verifyToken);passport.use(jwtStrategy);

参数说明：

• secretOrKey: 用于验证JWT签名的密钥或密文。支持对称密钥或非对称密钥（如公开密钥）。
• issuer: JWT颗粒的发行者信息，用于验证签名的合法性。

对于秘密或密钥的获取，可以通过secretOrKeyProvider选项自定义获取方式。

应用场景

该策略最适用于无会话的RESTful接口，例如：

• API投票系统
• 数据统计服务
• 用户认证代理端点

注意事项：

• 不使用该策略进行用户登录，应采用其他策略（如记忆录或令牌策略）。
• 用户应通过其他方式登录并获取JWT令牌，然后通过此策略进行身份验证。

通过以上配置，您可以轻松保护API端点，确保每次请求的用户身份真实有效。