Node.js 基础（5）- 前后端身份认证(下)

四、session

1. session 原理

2. session 使用

2.1 安装

安装 express-session 中间件，在Express 项目中，只需要安装 express-session 中间件，即可在项目中使用 Session 认证

npm install express-session

2.2 配置

express-session 中间件安装成功后，需要通过 app.use() 来注册 session 中间件，示例代码如下:

// 1.导入 session 中间件
var session = require("express-session");
// 2.配百 Session 中间件
server.use(session({
   secret:"keyboard cat",   // secret 属性的值可以为任意字符电
   resave: false,           // 固定写法
   saveUninitialized: true, // 因定写法
}))

2.3 向 session 中存数据

当 express-session 中间件配置成功后，即可通过 req.session 来访问和使用 session 对象，从而存储用户的关键信息：

server.post("/api/login", (req, res) => {
  // 判断用户提交的登录信息是否正确
  if (req.body,userName !== "admin" || reg.body.userPass !== '000000') {
    return res.send({ status: 1，msg:"查询失败"})
  }

  req.session.user = reg.body // 将用户的信息，存储到 session 中
  req.session.islogin = true  // 将用户的登录状态，存储到 session 中
  res.send({ status: 0，msg:"登录成功"})
})

2.4 从 session 中取数据

可以直接从 req.session 对象上获取之前存储的数据，示例代码如下:

// 获取用户姓名的接口
server.get( '/api/username' , (req, res) => {
  // 判断用户是否登录
  if (!req.session.islogin) {
    return res.send({ status: 1, msg: 'fail'})
  }
  res.send({ 
    status: 0,
    msg: 'success', 
    username: req.session.user.username 
  })
})

2.5 清空 session

调用 req.session.destroy() 函数，即可清空服务器保存的 session 信息:

// 退出登录的接口
server.post("/api/logout", (req, res) => {
    // 清空当前客户端对应的 session 信息
    req.session.destroy();
    res.send({
        status: 0,
        msg:"退出成功！"
    })
})

五、JWT 认证机制

1. session 局限性

Session 认证机制需要配合 Cokie 才能实现。由于 Cookie 默认不支持跨域访问，所以，当涉及到前端跨域请求后端按口的时候，需要做很多额外的配置，才能实现跨域 Session 认证
注意:

• 当前端请求后端接口不存在跨域问题的时候，推荐使用 Session 身份认证机制
• 当前端需要跨域请求后端接口的时候，不推荐使用 Session 身份认证机制，推荐使用JWT 认证机制。

2. JWT 基础

JWT (英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。

2.1 工作原理

总结: 用户的信息通过 Token 字符串的形式，保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。

2.2 组成

JWT 通常由三部分组成，分别是 Header (头部)、Payload (有效荷载)、Signature (签名)。三者之间使用英文的 “.” 分隔，格
式如下:

Header.Payload.signature

下面是JWT 字符串的示例:

eyJhbGci0iJIUzI1NiIsInR5cCI6IkpxVCJ9.
eyJpZCI6MSwidXNlcm5hbwUi0iJhZG1pbilsInBhc3N3b3JkIjoiliwibmlja25hbwui0ilms6X1t7Tlt70iLCJlbwFpbCI6Im5pYmFiYUBpdGNhc3QuY24iLCJ1c2VyX3BpYy16IiIsImlhdCI6MTU30DAZNjY4MiwiZXhwIjoxNTc4MDcyNjgyfo.
lwq7GqCxJPK-EA8LNrtMG0411KdZ33S9KBL3XeuBxul

JWT 的三个组成部分，从前到后分别是 Header、Payload、Signature。其中:

• Payload 部分才是真正的用户信息，它是用户信息经过加密之后生成的字符串。
• Header 和 Signature 是安全性相关的部分，只是为了保证 Token 的安全性。

2.3 使用

客户端收到服务器返回的 JWT 之后，通常会将它储存在 localStorage 或 sessionStorage 中。
此后，客户端每次与服务器通信，都要带上这个 JWT 的字符串，从而进行身份认证。推荐的做法是把JWT 放在 HTTP请求头的 Authorization 字段中，格式如下:

Authorization: Bearer <token>

3.JWT 使用

3.1 安装JWT 相关的包

运行如下命令，安装如下两个JWT 相关的包:

npm install jsonwebtoken express-jwt

其中:

• jsonwebtoken 用于生成 JWT 字符串
• express-jwt 用于将JWT 字符串解析还原成 JSON 对象

3.2 导入JWT 相关的包

使用 require() 函数，分别导入JWT 相关的两个包:

// 1.导入用于生成 JWT 字符串的包
const jwt = require("jsonwebtoken")
// 2.导入用于将客户端发送过来的 JWT 字符串，解析还原成 JSON 对象的包
const expressJwT = require("express-jwt")

3.3 定义 secret 密钥

为了保证 JWT 字符串的安全性，防止 JWT 字符串在网络传输过程中被别人破解，我们需要专门定义一个用于加密和解密的 secret 密钥:

• 当生成 JWT 字符串的时候，需要使用 secret 密钥对用户的信息进行加密，最终得到加密好的JWT 字符串
• 当把 JWT 字符串解析还原成 JSON 对象的时候，需要使用 secret 密进行解密

// secret 密钥的本质: 就是一个字符中
const secretKey = "taishangaicai No1 ^_^ "

3.4 生成 JWT 字符串

在登录成功后，生成 JWT 字符串，调用jsonwebtoken 包提供的 sign() 方法，将用户的信息加密成 JWT 字符申，响应给客户端:

// 登录接口
server.post("/api/login", function(reg, res) {
    // ... 省略登录失败情况下的代码
    // 用户登录成功之后，生成 JMT 符串，通过 token 属性响成给客户爆
    res.send({
        status: 200,
        message:"登录成功!",
        // 使用 jwt.sign() 生成 JWT 字符串，
        //  三个参数分别: 用户信息对象、加密串、配置对象
        token: jwt.sign(
            {usernane: userinfo.username }, 
            secretkey, 
            {expiresIn: '30s' }
        )
    })
})

3.5 JWT 字符串还原 JSON

将 JWT 字符串还原为 JSON 对象，客户端每次在访问那些有权限接口的时候，都需要主动通过请求头中的 Authorization 字段，将Token 字符申发送到服务器进行身份认证。
此时，服务器可以通过 express-jwt 这个中间件，自动将客户端发送过来的 Token 解析还原成JSON 对象:

// 使用 app.use() 来注册中间件
// expressJWT({ secret: secretKey }) 就是用来解析 Token 的中间件
// .unless({ path: [/^\/api\//] }) 用来指定哪些接口不需要访问权限
server.use(expressJwT({ secret: secretKey }).unless({ path: [/^\/api\//] }))

3.6 获取用户信息

使用 req.user 获取用户信息， 当 expressjwt 这个中间件配成功之后，即可在那些有权限的接口中，使用 req.user 对象，来访问从JWT 字符申中解析出来的用户信息了，示例代码如下:

// 这是一个有权限的 API 接口
server.get("/admin/getinfo",function(reg,res) {
    // 只要配置成功了 express-jwt 这个中间件，就可以把解析出来的用户信息,挂载到 req.user 属性上
    //  记住: 千万不要把密码加密到 token 字符中
    console.log(req.user)
    res.send({
       status: 200,
       message:"获取用户信息成功!",
       data: req.user
    })
})

3.7 捕获错误

捕获解析JWT 失败后产生的错误，当使用 express-jwt解析 Token 字符串时，如果客户端发送过来的 Token 字符串过期或不合法，会产生一个解折失败的错误，影响项目的正常运行。我们可以通过 Express 的错误中间件，捕获这个错误并进行相关的处理，示例代码如下：

server.use((err, req, res, mext) => {
    // token 解折失败导致的错误
    if(err.name === "UnauthorizedError" ) {
         return res.send({ status: 401, message:"无效的token" })
    }
    //其它原因导致的错误
    res.send({ status: 500，message:"未知错误"})
})

git 地址：gitee.com/taishangaic…

如有问题，欢迎探讨，如果满意，请手动点赞，谢谢！🙏

及时获取更多姿势，请您关注！！