你遇到的这个JsonWebTokenError: jwt must be provided错误，核心原因是验证接口没有正确获取到JWT令牌，再加上代码里的JWT验证逻辑存在几处小问题，咱们一步步来修复：

1. 先排查请求参数问题 #

你的验证接口/check/post是从req.body.jwt读取令牌的，测试时必须确保：

• 请求方式为POST
• 请求体内确实携带了jwt字段，比如用Postman或curl测试时，要把从/secure接口拿到的token放到JSON请求体中：

{
  "jwt": "你从/secure接口获取到的token字符串"
}

如果测试时没传这个参数，req.body.jwt会是undefined，直接触发"jwt must be provided"错误。

2. 修复JWT验证的代码逻辑 #

你的验证代码有两个明显的逻辑问题：

问题一：回调版jwt.verify不会返回验证结果 #

jwt.verify使用回调函数写法时，是没有返回值的，所以你写的const x = jwt.verify(...)里的x永远是undefined，后面的if (x != true)判断完全不生效。

问题二：直接throw err会导致服务器崩溃 #

如果验证出错（比如token无效、未传递），直接throw err会让Node.js进程崩溃，正确的做法是在回调里处理错误并返回响应给客户端。

修改后的验证接口代码如下：

api.post('/check/post', function (req, res) {
  const token = req.body.jwt;
  // 先判断token是否存在，提前拦截错误
  if (!token) {
    return res.status(400).json({ auth: false, message: 'jwt must be provided' });
  }
  // 正确使用jwt.verify的回调逻辑
  jwt.verify(token, 'dsfklgj', function (err, decoded) {
    if (err) {
      // 验证失败时返回错误信息和auth:false
      return res.json({ auth: false, message: err.message });
    }
    // 验证成功时返回auth:true和解析后的用户信息
    console.log(decoded);
    res.json({ auth: true, user: decoded.user });
  });
});

额外优化建议 #

• 把JWT的密钥'dsfklgj'放到环境变量中，不要硬编码在代码里，比如用process.env.JWT_SECRET来读取
• 生产环境建议用HTTPS传输JWT，避免令牌被窃取
• 可以考虑把JWT放到请求头的Authorization字段中（格式为Bearer <token>），这是更标准的做法，提取方式如下：

const authHeader = req.headers.authorization;
const token = authHeader && authHeader.split(' ')[1]; // 提取Bearer后面的token字符串

这样修改后，再用正确的请求参数测试，就能正常完成JWT验证了。

内容的提问来源于stack exchange，提问作者HelloWorld