最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session
使用JWT
JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,可以查看资料。
这里引入两个插件,express-jwt和JsonWebTokens,-
JsonWebTokens:用作生成token
express-jwt:用作验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router
express-jwt内部引用了jsonwebtoken,对其封装使用。使用JWT形式进行认证与授权的思路如下。
jwt认证流程
在服务端中使用方式如下:
//安装
npm i jsonwebtoken --save
npm i express-jwt --save//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');
//定义签名
const secret = 'salt';
//生成token
const token = jwt.sign({
name: 123
}, secret, {
expiresIn: 60 //秒到期时间
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU
//使用中间件验证token合法性
app.use(expressJwt ({
secret: secret
}).unless({
path: ['/login', '/getUserInfo'] //除了这些地址,其他的URL都需要验证
}));
//拦截器
app.use(function (err, req, res, next) {
//当token验证失败时会抛出如下错误
if (err.name === 'UnauthorizedError') {
//这个需要根据自己的业务逻辑来处理( 具体的err值 请看下面)
res.status(401).send('invalid token...');
}
});
//定义一个接口,返回token给客户端
app.get('/getUserInfo', function(req, res) {
res.json({
token: token
})
})
客户端中使用token的正确形式应该是把token放在authorization 这个header里, 对应的值以
Bearer开头然后空一格
authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE//采用axios可以这么写
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//设置请求拦截器
instance.interceptors.request.use(function(config) {
config.headers.authorization = `Bearer ${yourToken}`
return config;
})
使用Session
传统的认证和用户识别分别采用如下形式
服务端:创建一个session对象保存用户登录信息和状态,该对象有唯一ID,并返回一个cookie给客户端
