egg.js与JWT的应用 - 前端劝退师

egg.js与JWT的应用

作者: 前端劝退师

全网最懒博主

手机扫码查看

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

JWT基础介绍

跨域认证

互联网服务离不开用户认证,一般的流程是以下几个步骤:
1、用户向服务器发送用户名和密码。
2、服务器验证通过之后,在session里面保存相关数据。
3、服务器向用户返回一个session_id,写入用户的cookie里。
4、用户随后的每一次请求,都会通过cookie,将session_id传给服务器。
5、服务器收到session_id,找到保存的数据,由此获得用户认证。

如果是服务集群,或者是跨域服务的架构,就需要实现session共享,让每台服务器都能够读取session。将session持久性的写入数据库中。

一种方法就是服务器索性不保存session数据,所有的数据都保存在客户端,每次请求都发回服务器。JWT就是该方案的一个代表

JWT原理

当服务器认证以后,服务器会给客户端发回一条json数据,类似下面的数据:

  {
        "userName": "testUser",
    }

服务器与客户端通信就是以发送这个json对象来实现的,为了防止客户端去篡改通信使用的json对象,服务器会在生成这个对象的时候,为这个json对象加上一个签名。

JWT结构

服务器返回的token数据基本结构是 Header.Payload.Signature, header、payload、signature三部分以'.'隔开。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJ1c2VyTmFtZSI6ImNlc2hpemhhbmdodTAyIiwiaWF0IjoxNTU1MjEyMzg1LCJleHAiOjE1NTUyMTU5ODV9.
K53kd6cERhp6H4mtd8jCzA2bQtJTsdA2Kh3hzbXMXbU

header: 一个json对象,描述JWT的元数据
payload: 一个 JSON 对象,用来存放实际需要传递的数据
signature: 对header和payload两部分的签名,防止数据被篡改

egg.js关于JWT的配置

安装jsonwebtoken依赖

 npm install jsonwebtoken

在config/config.default.js文件里添加jwt配置,并且注册中间件。

  config.jwt = {
     secret: 'egg-api-jwt',
 };

 config.middleware = [
     'jwt',
 ];

JWT中间件

/middleware/jwt.js

const JWT = require('jsonwebtoken');

module.exports = options => {
  return async function(ctx, next) {
    // 拿到传会数据的header 中的token值
    const token = ctx.request.header.authorization;
    const method = ctx.method.toLowerCase();
    // 当前请求时get请求,执行接下来的中间件
    if (method === 'get') {
      await next();
    // 当前token值不存在的时候
    } else if (!token) {
      if (ctx.path === '/api/v1/register' || ctx.path === '/api/v1/login/account') {
        await next();
      } else {
        ctx.throw(401, '未登录, 请先登录');
      }
    } else { // 当前token值存在
      let decode;
      try {
        // 验证当前token
        decode = JWT.verify(token, options.secret);
        if (!decode || !decode.userName) {
          ctx.throw(401, '没有权限,请登录');
        }
        if (Date.now() - decode.expire > 0) {
          ctx.throw(401, 'Token已过期');
        }
        const user = await ctx.model.User.find({
          userName: decode.userName,
        });
        if (user) {
          await next();
        } else {
          ctx.throw('401', '用户信息验证失败');
        }
      } catch (e) {
        console.log(e);
      }
    }
  };
};

应用JWT

目前只写了登陆功能返回token功能

/controller/user.js

async login() {
    const { ctx } = this;
    const rule = {
      userName: { type: 'string', required: true, message: '必填项' },
      password: { type: 'string', required: true, message: '必填项' },
    };
    const loginMsg = ctx.request.body;
    await ctx.validate(rule, loginMsg); // 验证登陆信息是否合法
    // 为当前输入的密码加密
    loginMsg.password = ctx.helper.encrypt(loginMsg.password);
    // 从service文件中拿到返回结果
    const result = await ctx.service.user.login(loginMsg);
    ctx.body = result;
  }

/service/user.js

async login(loginMsg) {
    const { ctx } = this;
    const res = {};
    // 在当前数据库中验证此用户思否存在
    const queryResult = await ctx.model.User.findOne({
      userName: loginMsg.userName,
    });
    if (!queryResult) {
      res.code = -2;
      res.msg = '用户不存在,请前去注册';
      res.data = {};
      res.status = 'failed';
    } else {
      const result = await ctx.model.User.findOne(loginMsg);
      if (!result) {
        res.code = -1;
        res.msg = '用户信息不正确';
        res.data = {};
        res.status = 'failed';
      } else {
      // 签发token
        const token = JWT.sign({
          userName: result.userName,
        },
        this.config.jwt.secret, {
          expiresIn: 60 * 60,
        });
        res.data = result;
        res.code = 1;
        res.token = token;
        res.status = 'ok';
      }
    }
    return res;
  }
分享到:
打赏
未经允许不得转载:

作者: 前端劝退师, 转载或复制请以 超链接形式 并注明出处 前端劝退师
原文地址: 《egg.js与JWT的应用》 发布于2019-12-31

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏