egg-token码的生成与验证

---

什么是token

1、用户第一次登录，服务器通过数据库校验其UserId和Password合法，则再根据随机数字+userid+当前时间戳 再经过DES加密生成一个token串

2、Token是在服务端产生的。如果前端使用用户名/密码向服务端请求认证，服务端认证成功，那么在服务端会返回Token给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位

3、token的生成一般是采用uuid保证唯一性，当用户登录时为其生成唯一的token，存储一般保存在数据库中。token过期时间采用把token二次保存在cookie或session里面，根据cookie和session的过期时间去维护token的过期时间。

4、Token，就是令牌，最大的特点就是随机性，不可预测。一般黑客或软件无法猜测出来。

Token的身份验证流程图

使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录(只保留用户签名过程中的加密算法和密钥即可)。

大概的流程是这样的：

1、当客户端第一次请求时，发送用户信息至服务器(用户名、密码)，服务器对用户信息使用HS256算法及密钥进行签名，再将这个签名和数据一起作为Token一起返回给客户端

2、服务器不保存Token，客户端保存Token(比如放在 Cookie 里或者 Local Storage 里)

3、当客户端再次发送请求时，在请求信息中将Token一起发给服务器

4、服务器用同样的HS256算法和同样的密钥，对数据再进行一次签名，和客户端返回的Token的签名进行比较，如果验证成功，就向客户端返回请求的数据

请求参数中带token
1、用户在调用需要登录操作的接口时，无需传递userid和password即可完成操作（因为token代表登录成功）

2、服务器控制过期时间，假如一个极端情况，服务器端的token规则泄露，则可以控制用户可以重新登录，获取新的token

egg框架中如何使用token

1,安装egg-jwt

npm i egg-jwt --save
1

2,配置

config\plugin.js

 jwt: { //jwt插件启用
    enable: true,
    package: 'egg-jwt',
  },
1
2
3
4

config\config.default.js

 config.jwt = { //jwt加盐以及设置过期时间
    secret: 'jwt',
    expiresIn:'1h'
  };
1
2
3
4

3.生成token码

const jwt = require('jsonwebtoken'); //引入jwt
const token =jwt.sign({账号,密码},"keys") //第一个参数填要加密的账号和密码，第二字段填密钥
1
2

4.解密token码

jwt.verify(token,"keys")  //第一个参数填token码，第二个参数填密钥
1