一,jwt实现
1,jwt认证特点
toenk是保存在前端,安全性低无法撤销,内容过长时每次请求传输浪费资源。
JWT的最佳用途是一次性授权Token:
有效期短
只希望被使用一次
如:注册后发一封邮件让其激活账户,邮件中的链接
2,jwt认证流程
登录请求通过
服务端生成token返回到前端
前端将token保存到localStorage或cookie
后面的http请求把token放到headers
服务端验证token是否有效
3,nodejs中的实现
生成token,在登录成功后调用:createToken.js
var jwt = require('jsonwebtoken')
module.exports = function (name){
const token = jwt.sign({
name:name
},process.env.JWT_SECRET,60*5)
return token;
}
校验token,需要校验的接口前调用:checkToken.js
// 验证token中间件
var jwt = require('jsonwebtoken')
module.exports = function (req, res, next) {
const token = req.headers['authorization']
if (token) {
// 检验token信息是否过期
jwt.verify(token, process.env.JWT_SECRET, function(err, decoded) {
if (err) {
return res.status(403).json({ code: 'error', error: 'token失效' })
} else {
req.tokenInfo= decoded
next()
}
})
}else{
return res.status(403).json({code: 'error', error: '没有权限'})
}
}
调用checkToken
var express = require('express');
var checkToekn = require('../middleware/checkToken');
var router = express.Router();
router.get('/admin',checkToekn,function (req,res,next){
res.send({
type:true,
name:'dailu'
});
});
module.exports = router
二,session实现
1,session认证特点
sessionid保存在前端,session对象保存在后端数据库(可保存在内存,但不建议)。
2,session认证流程
登录请求通过
服务端创建一个session,然后将其存储在数据库中
服务器为用户生成一个sessionId,并写到Cookie
后续前端请求会自动带上sessionId
服务端验证sessionId是否有效
3,nodejs中的实现
我这里使用mongodb来存储,用connect-mongodb-session来搞定
...
var session = require('express-session')
var MongoDBStore = require('connect-mongodb-session')(session);
var app = express();
...
var store = new MongoDBStore({
uri: 'mongodb://localhost/test',
collection: 'mySessions'
},
function(error){
if(error){
console.log('MongoDBStore',error)
}
});
store.on('error', function(error) {
console.log('store',error)
});
app.use(session({
secret: 'abc',
cookie: {
maxAge: 1000 * 60 * 60 * 24 * 7 // 1 week
},
store: store,
resave: true,
saveUninitialized: true
}));
app.use(function (req, res, next) {
let url = req.originalUrl.split('?')[0];
console.log(url,req.session.username);
if (url !== '/user/login' && url !== '/user/register' && !req.session.username) {
const resData={
head: {
code: '44444444',
msg: '请先登录'
},
body: null
}
res.end(JSON.stringify(resData));
return
}
next();
})
routes(app);
module.exports = app;
4,个人觉得大多情况用session好一些,无需前端配合,实现也简单。session带来的开销对于现在的服务器基本上可忽略。
更多前端精选请关注公众号【topitcode】