Node.js如何实现高效的身份认证机制?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1512个文字,预计阅读时间需要7分钟。
您好,请问明天结束的早课的积点在今天是否已累积?今天是否还需加个班更博?看着这份成绩单上的数字,能否给点建议呢?有个好消息,有个坏消息,先说坏消息吧,就是在这学下去我急需支援,来救救我吧!
请问昨天结束的早是对堆积在了今天吗,今天还来加个班更博,看在这个毅力的份上能否给亿点点推荐。
有个好消息有个坏消息,先说坏消息吧,就是在这么学下去我急需急支糖浆,来回顾回顾前面的知识,这几天学的太急了,搞得有点推着走的意思,好消息就是今天的内容是最后最后node的基础内容了,果然天不负我,整完然后有两个大案例,做完我就从上次复习那里开始一直复习过来,然后全部不欠账,就昂首挺胸的走进vue了,等等,这个学完可以进去了吧。
1.
今天的第一个内容说一下web开发模式,今天基本就是讲一个身份认证的内容,我们的web开发模式呢分为两种,一种是服务器渲染模式,就是通过服务器进行一个字符串拼接,将html页面拼接出来,然后直接返回给客户端,这样一来就不需要我们的ajax了,直接给客户端就可以了,他的优点呢就是前端耗时少,毕竟都给服务器做了还有前端什么事,还有他也有利于seo优化,他的缺点就是占用服务器资源,而且不利于前后端分离开发效率低。
第二个模式:前后端分离的模式,它是依赖于ajax的一个广泛应用,后端负责编写api接口,前端就负责调用接口就完事了。他的一个优点就是开发体验好、毕竟前后端分离,用户体验也好,也减轻了服务器的压力。
但是缺点就是不利于seo的优化。
2
然后我们进入身份认证、
什么事身份认证?
通过一定的手段对用户身份进行确认的方式。
服务器渲染开发用的就是session认证,而我们的前后端分离用的就是jwt认证,两者都各有各的优点谁也不让谁。
3.
先来说下session吧
首先了解一下127.0.0.1:80') })
3.
这就是session,然后我们看到下一个认证机制jwt,session需要cookie才能够实现是吧,但我们的cookie有一个致命问题,不支持跨域,如果涉及到跨域需要配置很大一堆步骤。
JWT目前最流行跨域认证解决方案。
实现原理:首先还是客户端发起一个请求头发送账号密码,服务器验证,验证成功后会经过加密生辰一个token字符串然后会给你返回一个token字符串,我们拿到这个token字符串会将其存储在localstorage或者sessionStorage中,当我们再次请求就会通过一个authorization的请求头将token发送给服务器,服务器拿到token就会将他还原成用户的信息对象,然后身份也就认证成功了。
JWT的组成部分是有三部分组成:header。patyload。signature,这个。只是分割作用,我们的真正信息重在中间的payload前后两个只是保证token的安全性。
怎么在express中来使用我们的token?
需要安装两个包,还需要定义密匙是自己自定义的
第四步生成JWT字符串的时候在sign这个方法里面,这个配置有效期是token在规定期限之内能够拿来验证的期限;
第五步将jwt转换为json这个语句当中,unless这个语句的意思是不需要身份验证的接口
配置完第五步转换为json文件后我们就可以用req.user来获取信息了,而这个信息就是我们第四步把什么转换为jwt字符串的信息,
最后当我们的token过期或者不合法就会出现错误,这个时候要需要一个错误中间件
// 导入 express 模块 const express = require('express') // 创建 express 的服务器实例 const app = express() // TODO_01:安装并导入 JWT 相关的两个包,分别是 jsonwebtoken 和 express-jwt const jwt = require('jsonwebtoken') const expressJwt = require('express-jwt') // 允许跨域资源共享 const cors = require('cors') app.use(cors()) // 解析 post 表单数据的中间件 const bodyParser = require('body-parser') const { UnauthorizedError } = require('express-jwt') const { response } = require('express') app.use(bodyParser.urlencoded({ extended: false })) // TODO_02:定义 secret 密钥,建议将密钥命名为 secretKey const secretKey = 'hard hard study day day up' // TODO_04:注册将 JWT 字符串解析还原成 JSON 对象的中间件 app.use(expressJwt({secret : secretKey, algorithms : ['HS256']}).unless({path : [/^\/api\//]})) // 登录接口 app.post('/api/login', function (req, res) { // 将 req.body 请求体中的数据,转存为 userinfo 常量 const userinfo = req.body // 登录失败 if (userinfo.username !== 'admin' || userinfo.password !== '000000') { return res.send({ status: 400, message: '登录失败!' }) } // 登录成功 // TODO_03:在登录成功之后,调用 jwt.sign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端 // 转化成token加密文件 const tokenStr = jwt.sign({username : userinfo.username, algorithms : ['HS256']}, secretKey, {expiresIn : '1h'}) res.send({ status: 200, message: '登录成功!', token: tokenStr // 要发送给客户端的 token 字符串 }) }) // 这是一个有权限的 API 接口 app.get('/admin/getinfo', function (req, res) { // TODO_05:使用 req.user 获取用户信息,并使用 data 属性将用户信息发送给客户端 res.send({ status: 200, message: '获取用户信息成功!', data: {username : req.user} // 要发送给客户端的用户信息 }) }) // TODO_06:使用全局错误处理中间件,捕获解析 JWT 失败后产生的错误 app.use((err, req, res, next) => { if (err.name === 'UnauthorizedError') { // 这次错误是由token解析失败导致的 return res.send({status : 401, msg : '无效的token'}) }else { // 其他错误 return res.send({status: 500, msg : '未知的错误'}) } }) // 调用 app.listen 方法,指定端口号并启动web服务器 app.listen(8888, function () { console.log('Express server running at 127.0.0.1:8888') })
然后后面会有两个项目,会把之前所学的node综合起来,我到时候单独开个博来说一下吧,还是有一些注意事项的
本文共计1512个文字,预计阅读时间需要7分钟。
您好,请问明天结束的早课的积点在今天是否已累积?今天是否还需加个班更博?看着这份成绩单上的数字,能否给点建议呢?有个好消息,有个坏消息,先说坏消息吧,就是在这学下去我急需支援,来救救我吧!
请问昨天结束的早是对堆积在了今天吗,今天还来加个班更博,看在这个毅力的份上能否给亿点点推荐。
有个好消息有个坏消息,先说坏消息吧,就是在这么学下去我急需急支糖浆,来回顾回顾前面的知识,这几天学的太急了,搞得有点推着走的意思,好消息就是今天的内容是最后最后node的基础内容了,果然天不负我,整完然后有两个大案例,做完我就从上次复习那里开始一直复习过来,然后全部不欠账,就昂首挺胸的走进vue了,等等,这个学完可以进去了吧。
1.
今天的第一个内容说一下web开发模式,今天基本就是讲一个身份认证的内容,我们的web开发模式呢分为两种,一种是服务器渲染模式,就是通过服务器进行一个字符串拼接,将html页面拼接出来,然后直接返回给客户端,这样一来就不需要我们的ajax了,直接给客户端就可以了,他的优点呢就是前端耗时少,毕竟都给服务器做了还有前端什么事,还有他也有利于seo优化,他的缺点就是占用服务器资源,而且不利于前后端分离开发效率低。
第二个模式:前后端分离的模式,它是依赖于ajax的一个广泛应用,后端负责编写api接口,前端就负责调用接口就完事了。他的一个优点就是开发体验好、毕竟前后端分离,用户体验也好,也减轻了服务器的压力。
但是缺点就是不利于seo的优化。
2
然后我们进入身份认证、
什么事身份认证?
通过一定的手段对用户身份进行确认的方式。
服务器渲染开发用的就是session认证,而我们的前后端分离用的就是jwt认证,两者都各有各的优点谁也不让谁。
3.
先来说下session吧
首先了解一下127.0.0.1:80') })
3.
这就是session,然后我们看到下一个认证机制jwt,session需要cookie才能够实现是吧,但我们的cookie有一个致命问题,不支持跨域,如果涉及到跨域需要配置很大一堆步骤。
JWT目前最流行跨域认证解决方案。
实现原理:首先还是客户端发起一个请求头发送账号密码,服务器验证,验证成功后会经过加密生辰一个token字符串然后会给你返回一个token字符串,我们拿到这个token字符串会将其存储在localstorage或者sessionStorage中,当我们再次请求就会通过一个authorization的请求头将token发送给服务器,服务器拿到token就会将他还原成用户的信息对象,然后身份也就认证成功了。
JWT的组成部分是有三部分组成:header。patyload。signature,这个。只是分割作用,我们的真正信息重在中间的payload前后两个只是保证token的安全性。
怎么在express中来使用我们的token?
需要安装两个包,还需要定义密匙是自己自定义的
第四步生成JWT字符串的时候在sign这个方法里面,这个配置有效期是token在规定期限之内能够拿来验证的期限;
第五步将jwt转换为json这个语句当中,unless这个语句的意思是不需要身份验证的接口
配置完第五步转换为json文件后我们就可以用req.user来获取信息了,而这个信息就是我们第四步把什么转换为jwt字符串的信息,
最后当我们的token过期或者不合法就会出现错误,这个时候要需要一个错误中间件
// 导入 express 模块 const express = require('express') // 创建 express 的服务器实例 const app = express() // TODO_01:安装并导入 JWT 相关的两个包,分别是 jsonwebtoken 和 express-jwt const jwt = require('jsonwebtoken') const expressJwt = require('express-jwt') // 允许跨域资源共享 const cors = require('cors') app.use(cors()) // 解析 post 表单数据的中间件 const bodyParser = require('body-parser') const { UnauthorizedError } = require('express-jwt') const { response } = require('express') app.use(bodyParser.urlencoded({ extended: false })) // TODO_02:定义 secret 密钥,建议将密钥命名为 secretKey const secretKey = 'hard hard study day day up' // TODO_04:注册将 JWT 字符串解析还原成 JSON 对象的中间件 app.use(expressJwt({secret : secretKey, algorithms : ['HS256']}).unless({path : [/^\/api\//]})) // 登录接口 app.post('/api/login', function (req, res) { // 将 req.body 请求体中的数据,转存为 userinfo 常量 const userinfo = req.body // 登录失败 if (userinfo.username !== 'admin' || userinfo.password !== '000000') { return res.send({ status: 400, message: '登录失败!' }) } // 登录成功 // TODO_03:在登录成功之后,调用 jwt.sign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端 // 转化成token加密文件 const tokenStr = jwt.sign({username : userinfo.username, algorithms : ['HS256']}, secretKey, {expiresIn : '1h'}) res.send({ status: 200, message: '登录成功!', token: tokenStr // 要发送给客户端的 token 字符串 }) }) // 这是一个有权限的 API 接口 app.get('/admin/getinfo', function (req, res) { // TODO_05:使用 req.user 获取用户信息,并使用 data 属性将用户信息发送给客户端 res.send({ status: 200, message: '获取用户信息成功!', data: {username : req.user} // 要发送给客户端的用户信息 }) }) // TODO_06:使用全局错误处理中间件,捕获解析 JWT 失败后产生的错误 app.use((err, req, res, next) => { if (err.name === 'UnauthorizedError') { // 这次错误是由token解析失败导致的 return res.send({status : 401, msg : '无效的token'}) }else { // 其他错误 return res.send({status: 500, msg : '未知的错误'}) } }) // 调用 app.listen 方法,指定端口号并启动web服务器 app.listen(8888, function () { console.log('Express server running at 127.0.0.1:8888') })
然后后面会有两个项目,会把之前所学的node综合起来,我到时候单独开个博来说一下吧,还是有一些注意事项的