http协议的无状态性
指的是客户端的每次http请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次http请求的状态。可以用cookie突破http的无状态性限制。
cookie在身份认证中的作用:客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的cookie,客户端会自动将cookie保存到浏览器中。随后,在客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。
cookie不具有安全性,为了提高身份认证的安全性,就需要用到session认证机制。
session的工作原理:将session信息保存在服务器中。
配置express-session中间件
- //导入session中间件
- var session = require('express-session')
-
- //配置session中间件
- app.use(session({
- secret:'keyboard cat', //secret属性的值可以为任意字符串
- resave:false, //固定写法
- saveUninitialized:true //固定写法
-
- }))
向session中存数据
当中间件配置成功后,即可通过req.session来访问和使用session对象,从而存储用户的关键信息:
- app.post('/api/login',(req,res)=>{
- //判断用户提交的登录信息是否正确
- if(req.body.username !== 'admin' || req.body.password !='000000'){
- return res.send({ status:1,msg:'登录失败'})
- }
- req.session.user = req.body //将用户的信息保存在session中
- req.session.islogin = true //将用户的登录状态 ,存储到session中
-
- res.send({ status:0,msg:'登录成功'})
- })
从session中取数据
可以直接从req.session对象上回去之前存储的数据
- //获取用户姓名的接口
- app.get('/api/username',(req,res)=>{
- //判断用户是否登录
- if(!req.session.islogin){
- return res.send({ status:1,msg:'fail'})
- }
- res.send({status:0 ,msg:'success',username:req.session.user.username})
- })
清空session
调用req.session.destroy()函数,即可清空服务器保存的session信息
- //退出登录的接口
- app.post('/api/logout',(req,res)=>{
- //清空当前客户端对应的session信息
- req.session.destory()
- res.send({
- status:0,
- msg:'退出登录成功'
- })
- })
session认证需要配合cookie才能实现,由于cookie默认不支持跨域访问,所以当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域session认证。
当前端需要跨域请求后端接口的时候,不推荐使用session身份认证机制,推荐使用JWT认证机制。
JWT(JSON Web Token)目前最流行的跨域认证解决方案。
原理:用户的信息通过Token字符串的形式,保存在客户端浏览器中,服务器通过还原Token字符串的形式来认证用户的身份。
通常由三部分组成:分别是Header(头部),Payload(有效载荷),Signature(签名)
三者之间用英文的“.”分隔。
Header.Payload.SignaturePayload部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。
客户端收到服务器返回的JWT之后,通常会将它存储到localStorge和sessionStorage中。此后,客户端每次与服务器通信,都要带上这个JWT的字符串,从而进行身份认证。推荐做法是吧JWT放在HTTP请求头的Authorization字段中。
Authorization:Bearernpm install jsonwebtoken express-jwtjsonwebtoken用于生产JWT字符串
express-jwt用于将JWT字符串解析还原成JSON对象
使用require()函数
- const jwt = require('jsonwebtoken')
- const expressJWT=require('express-jwt')
- //secret密钥的本质就是一个字符串
- const secretKey='qiaoyang'
调用jsonwebtoken包提供的sign()方法,将用户的信息加密成JWT字符串,响应给客户端。
- app.post('/api/login',function(req,res){
- //....省略失败情况下的代码
- //用户登录成功之后,生成JWT字符串,通过token属性响应给客户端
- res.send({
- status:200,
- message:'登录成功',
- //调用jwt.sign()生成jwt字符串,三个参数分别是:用户信息对象、加密密钥、配置对象(可以配置当前token的有效期)
- token:jwt.sign({ username:userinfo.username},secretKey,{expiresIn:'30s'})
-
- })
-
- })
服务器可以通过express-jwt这个中间件,自动将客户端发送过来的token解析还原成json对象
- //使用app.use()来注册中间件
-
- //express.JWT({secret:secretKey}) 就是用来解析token的中间件
- //.unless({path:[/^\/api\//]})用来指定哪些接口不需要访问权限
- app.use(express.JWT({secret:secretKey}).unless({path:[/^\/api\//]}))
- //这是一个有权限的api接口
- app.get('/admin/getinfo',function(req,res){
- console.log(req.user)
- res.send({
- status:200,
- message:'获取用户信息成功'
- data:req.user
- })
- })
如果解析token字符串时,如果客户端发送过来的字符串过期或不合法,会产生一个 解析失败的错误,影响项目的正常运行,可以通过express的错误中间件,捕获这个错误并进行相关的处理
- app.use((err,req,res,next)=>{
- //token解析失败导致的错误
- if(err.name==='UnauthorizedError'){
- return res.send({ status:401,message:'无效的token'})
- }
- //其他原因
- res.send({ status:500,message:'未知错误'})
- })