湖南广源建设工程有限公司网站,温州营销网站公司,免费免费网站模板,wordpress前台修改1. Session 认证的局限性 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问#xff0c;所以#xff0c;当涉及到前端跨域请求后端按口的时候#xff0c;需要做很多额外的配置#xff0c;才能实现跨域 Session 认证。 注意#xff1a; 1#xf…1. Session 认证的局限性 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问所以当涉及到前端跨域请求后端按口的时候需要做很多额外的配置才能实现跨域 Session 认证。 注意 1当前端请求后端接口不存在跨域问题的时候推荐使用 Session 身份认证机制 2当前端需要跨域请求后端接口的时候不推荐使用 Session 身份认证机制推荐使用JWT 认证机制
2.JWT 1)JWT (英文全称:JSON Web Token) 是目前最流行的跨域认证解决方案 2)JWT 通常由三部分组成分别是 Header (头部)、Payload (有效荷载)、Signature (签名) Payload 部分才是真正的用户信息它是用户信息经过加密之后生成的字符串 Header 和 Signature 是安全性相关的部分只是为了保证 Token 的安全性 三者之间使用英文的“.”分隔格式如下:
Header.Payload.Signature
//下面是JWT 字符串的示例:
eyJhbGcioiJIUzI1NiIsInRp.ZCI6MSwidXNlcm5hbwUi0iJhZG1pbiisInBhc3N3b3JkIjoiliwibmlja25hbwuioilms6Xlt7Tlt70iLLCJ1c2VyX3BpYyI6IiIsImlhdCI6M.TU30DAZNjY4MiwNhc30uY241izxhwIjoxNTc4MDcyNjgyfQKdZ33S9KBL3XeuBxuI
3.JWT 的使用方式 客户端收到服务器返回的JWT 之后通常会将它储存在localStorage 或 sessionStorage 中 此后客户端每次与服务器通信都要带上这个JWT 的字符串从而进行身份认证。推荐的做法是把JWT 放在 HTTP请求头的 Authorization 字段中 格式如下: Authorization: Bearer token
4.安装JWT相关的包
//运行如下命令安装如下两个JWT 相关的包:
npm install jsonwebtoken express-jwt jsonwebtoken 用于生成JWT 字符串 express-jwt 用于将JWT 字符串解析还原成 JSON 对象
5.导入JWT 相关的包 使用 require()函数分别导入JWT 相关的两个包:
// 1.导入用于生成 JWT 字符串的包
const jwt require( jsonwebtoken )
// 2.导入用于将客户端发送过来的 JWT 字符串解析还原成 JSON 对象的包
const expressJWT require( express-jwt)
6.定义 secret 密钥 为了保证JWT 字符串的安全性防止JWT 字符串在网络传输过程中被别人破解我们需要专门定义一个用于加密和解密的 secret 密钥: 1)当生成JWT 字符串的时候需要使用 secret 密钥对用户的信息进行加密最终得到加密好的JWT 字符串 2)当把JWT 字符串解析还原成JSON 对象的时候需要使用 secret 密钥进行解密
// secret 密钥的本质: 就是一个字符串(自定义)
const secretKey secret ^ ^
7.在登录成功后生成JWT 字符串
调用jsonwebtoken 包提供的 sign() 方法将用户的信息加密成JWT 字符串响应给客户端 // 登录接口
app.post(/api/login, function(req, res) {// ... 省略登录失败情况下的代码// 用户登录成功之后生成 JWT 字符串通过 token 属性响应给客户端// 用 jwt,sign() 生成 JWT 字符串三个参数分别是: //1.用户信息对象、//2.加密的密钥、//3.配置对象(可以配置当前token的有效期)const tokenStr jwt.sign({ username: userinfo.username}, secretKey, { expiresin : 30s } //30s有效期)res .send({status: 200message:登录成功!token: tokenStr})
})
8.将JWT 字符串还原为 JSON 对象 客户端每次在访问那些有权限接口的时候都需要主动通过请求头中的 Authorization 字段将 Token 字符串发送到服务器进行身份认证。 此时服务器可以通过 express-jwt 这个中间件自动将客户端发送过来的 Token 解析还原成JSON 对象:
//注册将 JWT 字符串解析还原成 JSON 对象的中间件
//注意: 只要配置成功了 express-jwt 这个中间件就可以把解析出来的用户信息挂载到 req.auth 属性上// 使用 app.use() 来注册中间件
// expressJWT({ secret: secretKey }) 就是用来解析 Token 的中间件
// .unless({ path: [/^\/api\//] }) 用来指定哪些接口不需要访问权限
app.use(expressJWT({ secret:secretKey }).unless({ path: [/^\/api\//] })) //这是一个有权限的 API 接口
app.get(/admin/getinfo, function (req, res){// 使用 req.auth 获取用户信息并使用 data 属性将用户信息发送给客户端console.log(req.auth)res.send({status: 200,message:获取用户信息成功!,data: req.auth // 要发送给客户端的用户信息})
}) 9.捕获解析JWT 失败后产生的错误
当使用express-jwt 解析 Token 字符串时如果客户端发送过来的 Token 字符串过期或不合法会产生一个解析失败的错误影响项目的正常运行。我们可以通过 Express 的错误中间件捕获这个错误并进行相关的处理示例代码如下:
//使用全局错误处理中间件捕获解析 JWT 失败后产生的错误
app.use((err, req, res, next) {// token 解析失败导致的错误if( err.name UnauthorizedError) {return res.send({ status: 401message:无效的token })}// 其它原因导致的错误res.send({ status: 500message:未知错误})
})
