N10 — Exercices Authentification JWT

Utilisez jwt.sign(payload, secret, options) pour créer un token avec un payload contenant userId et email, une expiration de 7 jours.

// Créez un token JWT avec jwt.sign // Payload: { userId: '42', email: 'alice@example.com' } // Expiration: '7d'

Utilisez jwt.verify(token, secret) dans un bloc try/catch pour décoder un token et afficher son payload.

// Vérifiez un token avec jwt.verify dans un try/catch // Affichez le payload décodé si valide // Gérez l'erreur si invalide

Utilisez await bcrypt.hash(password, 10) pour hacher un mot de passe. Affichez le hash résultant.

// Hachez un mot de passe avec bcrypt.hash // Utilisez await et 10 salt rounds // Affichez le hash généré

Écrivez une fonction asynchrone qui utilise bcrypt.compare(motDePasse, hash) et retourne true ou false.

// Vérifiez un mot de passe contre un hash avec bcrypt.compare // La fonction doit retourner true si correct, false sinon

Écrivez le middleware verifyToken(req, res, next) qui extrait le token du header Authorization: Bearer, le vérifie et attache le payload à req.user.

// Middleware verifyToken complet // - Lire req.headers.authorization // - Vérifier le format "Bearer <token>" // - Appeler jwt.verify // - Attacher le payload à req.user // - Appeler next() si valide, res.status(401) sinon

Écrivez une route POST /auth/login qui vérifie les identifiants avec bcrypt.compare et retourne un token JWT si valide.

// Route POST /auth/login // - Recevoir email + password du body // - Trouver l'utilisateur par email // - Vérifier le mot de passe avec bcrypt.compare // - Retourner un token JWT avec jwt.sign

Créez une route GET /auth/profile protégée par le middleware verifyToken. La route doit retourner les données de req.user.

// Route GET /auth/profile protégée // Utilisez verifyToken comme middleware // Retournez req.user dans la réponse JSON

Dans un handler de route protégée, extrayez userId et email depuis req.user et utilisez-les pour filtrer des données.

// Dans une route protégée par verifyToken // Extrayez userId depuis req.user // Utilisez-le pour récupérer les données de cet utilisateur

Améliorez le middleware verifyToken pour distinguer TokenExpiredError (session expirée) des autres erreurs JWT (token corrompu/falsifié).

// Middleware verifyToken avec gestion fine des erreurs // - TokenExpiredError → message "Session expirée" // - Autres erreurs JWT → message "Token invalide" // Utilisez err.name pour distinguer les cas

Défi final : écrivez un système d'auth complet avec register, login, et verifyToken. Le code doit inclure jwt.sign, bcrypt.hash et la vérification du header Authorization.

// Système auth complet : // 1. Middleware verifyToken // 2. Fonction register (hash password + jwt.sign) // 3. Fonction login (bcrypt.compare + jwt.sign) // Toutes les pièces dans un seul fichier