日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

在前后端分離的開發(fā)中，通過(guò) Restful API 進(jìn)行數(shù)據(jù)交互時(shí)，如果沒(méi)有對(duì) API 進(jìn)行保護(hù)，那么別人就可以很容易地獲取并調(diào)用這些 API 進(jìn)行操作。那么服務(wù)器端要如何進(jìn)行鑒權(quán)呢？

成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì),成都做網(wǎng)站公司-創(chuàng)新互聯(lián)公司已向上千家企業(yè)提供了,網(wǎng)站設(shè)計(jì),網(wǎng)站制作,網(wǎng)絡(luò)營(yíng)銷等服務(wù)!設(shè)計(jì)與技術(shù)結(jié)合,多年網(wǎng)站推廣經(jīng)驗(yàn),合理的價(jià)格為您打造企業(yè)品質(zhì)網(wǎng)站。

Json Web Token 簡(jiǎn)稱為 JWT，它定義了一種用于簡(jiǎn)潔、自包含的用于通信雙方之間以 JSON 對(duì)象的形式安全傳遞信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公鑰密鑰對(duì)進(jìn)行簽名。

說(shuō)得好像跟真的一樣，那么到底要怎么進(jìn)行認(rèn)證呢？

首先用戶登錄時(shí)，輸入用戶名和密碼后請(qǐng)求服務(wù)器登錄接口，服務(wù)器驗(yàn)證用戶名密碼正確后，生成token并返回給前端，前端存儲(chǔ)token，并在后面的請(qǐng)求中把token帶在請(qǐng)求頭中傳給服務(wù)器，服務(wù)器驗(yàn)證token有效，返回正確數(shù)據(jù)。

既然服務(wù)器端使用 Koa2 框架進(jìn)行開發(fā)，除了要使用到 jsonwebtoken 庫(kù)之外，還要使用一個(gè) koa-jwt 中間件，該中間件針對(duì) Koa 對(duì) jsonwebtoken 進(jìn)行了封裝，使用起來(lái)更加方便。下面就來(lái)看看是如何使用的。

生成token

這里注冊(cè)了個(gè) /login 的路由，用于用戶登錄時(shí)獲取token。

 
 
 
 

  
  
  
  
const router = require('koa-router')(); 
  
  
  
  
const jwt = require('jsonwebtoken'); 
  
  
  
  
const userModel = require('../models/userModel.js'); 
  
  
  
  
router.post('/login', async (ctx) => { 
  
  
  
  
    const data = ctx.request.body; 
  
  
  
  
    if(!data.name || !data.password){ 
  
  
  
  
        return ctx.body = { 
  
  
  
  
            code: '000002', 
  
  
  
  
            data: null, 
  
  
  
  
            msg: '參數(shù)不合法' 
  
  
  
  
        } 
  
  
  
  
    } 
  
  
  
  
    const result = await userModel.findOne({ 
  
  
  
  
        name: data.name, 
  
  
  
  
        password: data.password 
  
  
  
  
    }) 
  
  
  
  
    if(result !== null){ 
  
  
  
  
        const token = jwt.sign({ 
  
  
  
  
            name: result.name, 
  
  
  
  
            _id: result._id 
  
  
  
  
        }, 'my_token', { expiresIn: '2h' }); 
  
  
  
  
        return ctx.body = { 
  
  
  
  
            code: '000001', 
  
  
  
  
            data: token, 
  
  
  
  
            msg: '登錄成功' 
  
  
  
  
        } 
  
  
  
  
    }else{ 
  
  
  
  
        return ctx.body = { 
  
  
  
  
            code: '000002', 
  
  
  
  
            data: null, 
  
  
  
  
            msg: '用戶名或密碼錯(cuò)誤' 
  
  
  
  
        } 
  
  
  
  
    } 
  
  
  
  
}); 
  
  
  
  
module.exports = router; 
 
 
 
 

在驗(yàn)證了用戶名密碼正確之后，調(diào)用 jsonwebtoken 的 sign() 方法來(lái)生成token，接收三個(gè)參數(shù)，第一個(gè)是載荷，用于編碼后存儲(chǔ)在 token 中的數(shù)據(jù)，也是驗(yàn)證 token 后可以拿到的數(shù)據(jù)；第二個(gè)是密鑰，自己定義的，驗(yàn)證的時(shí)候也是要相同的密鑰才能解碼；第三個(gè)是options，可以設(shè)置 token 的過(guò)期時(shí)間。

獲取token

接下來(lái)就是前端獲取 token，這里是在 vue.js 中使用 axios 進(jìn)行請(qǐng)求，請(qǐng)求成功之后拿到 token 保存到 localStorage 中。這里登錄成功后，還把當(dāng)前時(shí)間存了起來(lái)，除了判斷 token 是否存在之外，還可以再簡(jiǎn)單的判斷一下當(dāng)前 token 是否過(guò)期，如果過(guò)期，則跳登錄頁(yè)面

 
 
 
 

  
  
  
  
submit(){ 
  
  
  
  
    axios.post('/login', { 
  
  
  
  
        name: this.username, 
  
  
  
  
        password: this.password 
  
  
  
  
    }).then(res => { 
  
  
  
  
        if(res.code === '000001'){ 
  
  
  
  
            localStorage.setItem('token', res.data); 
  
  
  
  
            localStorage.setItem('token_exp', new Date().getTime()); 
  
  
  
  
            this.$router.push('/'); 
  
  
  
  
        }else{ 
  
  
  
  
            alert(res.msg); 
  
  
  
  
        } 
  
  
  
  
    }) 
  
  
  
  
} 
 
 
 
 

然后請(qǐng)求服務(wù)器端API的時(shí)候，把 token 帶在請(qǐng)求頭中傳給服務(wù)器進(jìn)行驗(yàn)證。每次請(qǐng)求都要獲取 localStorage 中的 token，這樣很麻煩，這里使用了 axios 的請(qǐng)求攔截器，對(duì)每次請(qǐng)求都進(jìn)行了取 token 放到 headers 中的操作。

 
 
 
 

  
  
  
  
axios.interceptors.request.use(config => { 
  
  
  
  
    const token = localStorage.getItem('token'); 
  
  
  
  
    config.headers.common['Authorization'] = 'Bearer ' + token; 
  
  
  
  
    return config; 
  
  
  
  
}) 
 
 
 
 

驗(yàn)證token

通過(guò) koa-jwt 中間件來(lái)進(jìn)行驗(yàn)證，用法也非常簡(jiǎn)單

 
 
 
 

  
  
  
  
const koa = require('koa'); 
  
  
  
  
const koajwt = require('koa-jwt'); 
  
  
  
  
const app = new koa(); 
  
  
  
  
// 錯(cuò)誤處理 
  
  
  
  
app.use((ctx, next) => { 
  
  
  
  
    return next().catch((err) => { 
  
  
  
  
        if(err.status === 401){ 
  
  
  
  
            ctx.status = 401; 
  
  
  
  
            ctx.body = 'Protected resource, use Authorization header to get access\n'; 
  
  
  
  
        }else{ 
  
  
  
  
            throw err; 
  
  
  
  
        } 
  
  
  
  
    }) 
  
  
  
  
}) 
  
  
  
  
app.use(koajwt({ 
  
  
  
  
    secret: 'my_token' 
  
  
  
  
}).unless({ 
  
  
  
  
    path: [/\/user\/login/] 
  
  
  
  
})); 
 
 
 
 

通過(guò) app.use 來(lái)調(diào)用該中間件，并傳入密鑰 {secret: 'my_token'}，unless 可以指定哪些 URL 不需要進(jìn)行 token 驗(yàn)證。token 驗(yàn)證失敗的時(shí)候會(huì)拋出401錯(cuò)誤，因此需要添加錯(cuò)誤處理，而且要放在 app.use(koajwt()) 之前，否則不執(zhí)行。

如果請(qǐng)求時(shí)沒(méi)有token或者token過(guò)期，則會(huì)返回401。

解析koa-jwt

我們上面使用 jsonwebtoken 的 sign() 方法來(lái)生成 token 的，那么 koa-jwt 做了些什么幫我們來(lái)驗(yàn)證 token。

resolvers/auth-header.js

 
 
 
 

  
  
  
  
module.exports = function resolveAuthorizationHeader(ctx, opts) { 
  
  
  
  
    if (!ctx.header || !ctx.header.authorization) { 
  
  
  
  
        return; 
  
  
  
  
    } 
  
  
  
  
    const parts = ctx.header.authorization.split(' '); 
  
  
  
  
    if (parts.length === 2) { 
  
  
  
  
        const scheme = parts[0]; 
  
  
  
  
        const credentials = parts[1]; 
  
  
  
  
        if (/^Bearer$/i.test(scheme)) { 
  
  
  
  
            return credentials; 
  
  
  
  
        } 
  
  
  
  
    } 
  
  
  
  
    if (!opts.passthrough) { 
  
  
  
  
        ctx.throw(401, 'Bad Authorization header format. Format is "Authorization: Bearer "'); 
  
  
  
  
    } 
  
  
  
  
}; 
 
 
 
 

在 auth-header.js 中，判斷請(qǐng)求頭中是否帶了 authorization，如果有，將 token 從 authorization 中分離出來(lái)。如果沒(méi)有 authorization，則代表了客戶端沒(méi)有傳 token 到服務(wù)器，這時(shí)候就拋出 401 錯(cuò)誤狀態(tài)。

verify.js

 
 
 
 

  
  
  
  
const jwt = require('jsonwebtoken'); 
  
  
  
  
module.exports = (...args) => { 
  
  
  
  
    return new Promise((resolve, reject) => { 
  
  
  
  
        jwt.verify(...args, (error, decoded) => { 
  
  
  
  
            error ? reject(error) : resolve(decoded); 
  
  
  
  
        }); 
  
  
  
  
    }); 
  
  
  
  
}; 
 
 
 
 

在 verify.js 中，使用 jsonwebtoken 提供的 verify() 方法進(jìn)行驗(yàn)證返回結(jié)果。jsonwebtoken 的 sign() 方法來(lái)生成 token 的，而 verify() 方法則是用來(lái)認(rèn)證和解析 token。如果 token 無(wú)效，則會(huì)在此方法被驗(yàn)證出來(lái)。

index.js

 
 
 
 

  
  
  
  
const decodedToken = await verify(token, secret, opts); 
  
  
  
  
if (isRevoked) { 
  
  
  
  
    const tokenRevoked = await isRevoked(ctx, decodedToken, token); 
  
  
  
  
    if (tokenRevoked) { 
  
  
  
  
        throw new Error('Token revoked'); 
  
  
  
  
    } 
  
  
  
  
} 
  
  
  
  
ctx.state[key] = decodedToken;  // 這里的key = 'user' 
  
  
  
  
if (tokenKey) { 
  
  
  
  
    ctx.state[tokenKey] = token; 
  
  
  
  
} 
 
 
 
 

在 index.js 中，調(diào)用 verify.js 的方法進(jìn)行驗(yàn)證并解析 token，拿到上面進(jìn)行 sign() 的數(shù)據(jù) {name: result.name, _id: result._id}，并賦值給 ctx.state.user，在控制器中便可以直接通過(guò) ctx.state.user 拿到 name 和 _id。

安全性

如果 JWT 的加密密鑰泄露的話，那么就可以通過(guò)密鑰生成 token，隨意的請(qǐng)求 API 了。因此密鑰絕對(duì)不能存在前端代碼中，不然很容易就能被找到。

在 HTTP 請(qǐng)求中，token 放在 header 中，中間者很容易可以通過(guò)抓包工具抓取到 header 里的數(shù)據(jù)。而 HTTPS 即使能被抓包，但是它是加密傳輸?shù)模砸材貌坏?token，就會(huì)相對(duì)安全了。

總結(jié)

這上面就是 jwt 基本的流程，這或許不是最完美的，但在大多數(shù)登錄中使用已經(jīng)足夠了。

上面的代碼可能不夠具體，這里使用 Koa + mongoose + vue.js 實(shí)現(xiàn)的一個(gè)例子 ： jwt-demo，可以做為參考。

【本文為專欄作者“林鑫”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)微信公眾號(hào)聯(lián)系作者獲取授權(quán)】

網(wǎng)頁(yè)題目：Node.js應(yīng)用：Koa2使用JWT進(jìn)行鑒權(quán)
文章起源：http://www.dlmjj.cn/article/djisjih.html