Appearance
前后端身份认证
在 express 中使用 session 认证
session 认证需要配合 cookie 实现,cookie 不支持跨域访问,适用于服务端渲染
1. 安装依赖
shell
npm i express-session2. 配置 express-session 中间件
通过 app.use()注册使用
js
const session = require("express-session");
// 配置
app.use(
session({
secret: "secretKey", //任意字符串
resave: false, //固定写法
saveUnInitialized: true, //固定写法
})
);3. 向 session 中存数据
注册 express-session 成功后,可以通过 req.session 来访问使用 session 对象
js
app.post("/user/login", (req, res) => {
const { username, password } = req.body;
// 校验用户登录信息
if (username !== "admin" || password !== "admin123") {
return res.send({ status: 1, msg: "登录失败" });
}
req.session.user = req.body; //存储用户登录信息
req.session.isLogin = true;
res.send({ status: 0, msg: "登录成功" });
});4. 从 session 中提取数据
可以从 req.session 中直接获取之前存储的信息
js
// 获取用户姓名
app.get("/user/username", (req, res) => {
if (!req.session.isLogin) {
return res.send({
status: 1,
msg: "用户未登录",
});
}
res.send({ status: 0, msg: "success", username: req.session.user.username });
});5. 清空 session
调用req.session.destory(),可以清空服务器保存的 session 信息
js
//退出登录接口
app.get("/user/logout", (req, res) => {
req.session.destory();
res.send({
status: 0,
msg: "退出登录成功",
});
});JWT 认证机制
JWT(JSON Web Token)是目前最流行的跨域认证解决方案,适合前后端分离
工作原理:用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份
1.JWT 组成
- Header(头部):安全相关
- Payload(有效载荷):加密后的用户信息
- Signature(签名):安全相关
格式:
shell
Header.Payload.Signature
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9.BCw
Uy3jnUQ_E6TqCayc7rCHkx-vxxdagUwPOWqwYCFc2. JWT 认证方式
客户端接收到服务器返回的 JWT 后,存储在 localStoreage 或 sessionStorage 中
之后客户端与服务器通信都携带上该 JWT 字符串,进行身份认证。通常存放在 http 的请求头 Authorization 中
shell
Authorization:Bearer<token>在 express 中使用 JWT
1. 安装 JWT 依赖
shell
npm i jsonwebtoken express-jwtjsonwebtoken:生成 JWT 字符串express-jwt:将 JWT 字符串解析还原成 JSON 对象
2. 定义 secret 秘钥
- 生成 JWT 字符串时,使用 secret 秘钥对用户信息进行加密,得到 JWT 字符串
- 当 JWT 字符串还原成 JSON 对象时,用 secret 秘钥进行解密
js
const secretKey = "admin_key";3. 登录成功生成 JWT 字符串
调用 jsonwebtoken 的 sign() 方法,将用户信息加密成 JWT 字符串,以 token 返给客户端
js
const jwt = require('jsonwebtoken')
const { expressjwt } = require('express-jwt')
const secretKey = 'admin_key'
app.post('/user/login', (req, res) => {
const { username } = req.body
//...登录失败代码省略
res.send({
status: 200,
//三个参数:1.用户信息对象,2.秘钥,3.配置信息对象(expiresIn:有效时间)
token: jwt.sign({ username }, serectKey, { expiresIn:60s }),
msg: '登录成功',
})
})4. 将 jwt 还原成 JSON 对象
- 客户端每次在访问有权限的接口时,都需要主动通过请求头中的
Authorization字段,将 Token 字符串发送到服务器进行身份认证。
shell
Authorization:Bearer Token- 服务器通过
express-jwt这个中间件,自动将客户端发送过来的 Token 解析还原成 JSON 对象
js
// app.use()注册全局中间件
// unless后面定义哪些接口需要权限认证
app.use(expressjwt({ secret: secretKey, algorithms: ["HS256"] }).unless({ path: [/^\/api\//] }));5. req.user 获取用户信息
注册使用express-jwt后,可以在有权限认证的接口中,通过req.user直接访问解析出来的用户信息
js
req.get('/user/userInfo',
(req, res) => {
console.log(req.user)
res.send({ status: 200, msg: '请求信息成功',data:req.user })
}
)6. 捕获解析 JWT 失败后产生的错误
当使用 express-jwt 解析 Token 字符串时,如果客户端发送过来的 Token 字符串过期或不合法,会产生一个解析失败的错误。 通过 Express 的错误中间件,捕获这个错误并进行处理
js
app.use((err, req, res, next) => {
if (err.name === "UnauthorizedError") {
// token错误
return res.send({ status: 401, msg: "token失效" });
}
// 其他错误
res.send({ status: 500, msg: "其他错误" });
next();
});