koa2服务端使用jwt进行鉴权及路由权限分发的流程分析


Posted in Javascript onJuly 22, 2019

大体思路

后端书写REST api时,有一些api是非常敏感的,比如获取用户个人信息,查看所有用户列表,修改密码等。如果不对这些api进行保护,那么别人就可以很容易地获取并调用这些 api 进行操作。

所以对于一些api,在调用之前,我们在服务端必须先对操作者进行“身份认证”,这就是所谓的鉴权。

Json Web Token 简称为 JWT,它定义了一种通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名,复杂度较高,换来的是更可靠的安全系数。

整个认证的流程大体如下:

首先用户登录的接口是不用token认证的,因为这个接口本身就是token的产生来源。前端输入用户名和密码后请求服务器登录接口,服务器验证用户名密码正确后,生成token并返回给前端,前端存储token,并在后面的请求中把token带在请求头中传给服务器,服务器验证token有效,才可以进行下一步操作。

服务器生成token

由于我们的服务端使用 Koa2 框架进行开发,除了要使用到 jsonwebtoken 库之外,还要使用一个 koa-jwt 中间件,该中间件针对 Koa 对 jsonwebtoken 进行了封装,使用起来更加方便。

 const router = require('koa-router')();
const jwt = require('jsonwebtoken');
const userModel = require('../models/userModel.js');
router.post('/login', async (ctx) => {
 const data = ctx.request.body;const result = await userModel.findOne({
  name: data.name,
  password: data.password
 })
 if(result !== null){
  const token = jwt.sign({
   name: result.name,
   _id: result._id
  }, 'zhangnan', { expiresIn: '2h' });
  return ctx.body = {
   code: 200,
   token: token,
   msg: '登录成功'
  }
 }else{
  return ctx.body = {
   code: 400,
   token: null,
   msg: '用户名或密码错误'
  }
 }
});
module.exports = router;

(注意:这里暂时不讨论加盐加密校验,实际项目中密码不可能这样明文验证,这里只是为了着重讨论token鉴权。在验证了用户名密码正确之后,就可以调用 jsonwebtoken 的 sign() 方法来生成token,接收三个参数,第一个是载荷,用于编码后存储在 token 中的数据,也是验证 token 后可以拿到的数据;第二个是密钥,自己定义的,随便写个什么单词都可以,但是验证的时候一定要相同的密钥才能解码;第三个是options,可以设置 token 的过期时间。)

前端获取token

接下来就是前端获取 token,这里是在 vue.js 中使用 axios 进行请求,请求成功之后拿到 token 保存到 localStorage 中。

submit(){
 axios.post('/login', {
  name: this.username,
  password: this.password
 }).then(res => {
  if(res.code === 200){
   localStorage.setItem('token', res.data.token);
  }else{
   this.$message('登录失败')
  }
 })
}

然后前端在请求后端api时,就把 token 带在请求头中传给服务器进行验证。每次请求都要获取 localStorage 中的 token,这样很麻烦,这里使用了 axios 的请求拦截器,进行全局设置,对每次请求都进行了取 token 放到 headers 中的操作。

axios.interceptors.request.use(config => {
 const token = localStorage.getItem('token');
 config.headers.common['Authorization'] = 'Bearer ' + token;
 return config;
})

(这段代码,如果是vue项目,可以直接放在main.js中设置,表示每次请求前都会往请求头的authorization里塞一个token,至于那个Bearer 是koa-jwt的一个标识单词,方便解析)

服务器验证token

接下来服务器收到前端发过来的token后,就可以进行验证。

const koa = require('koa');
const koajwt = require('koa-jwt');
const app = new koa();

app.use(koajwt({
 secret: 'zhangnan'
}).unless({
  path: [/\/register/, /\/login/]
}));

(在这里没有定义错误处理函数,由于出现错误后会返回401,所以我直接就让前端来处理这种异常情况,给出一个错误的交互提示即可)

分析koa-jwt源码

我们在node_mudules里面找到koa-jwt/lib/resolvers文件夹下的auth-header.js文件,看下koa-jwt做了些什么

(可以看到它是先判断请求头中是否带了 authorization,如果有,则通过正则将 token 从 authorization 中分离出来,这里我们也看到了Bearer这个单词。如果没有 authorization,则代表了客户端没有传 token 到服务器,这时候就抛出 401 错误状态。)

再看看上一级的vertify.js。

(可以看到在 verify.js 中,它就是调用 jsonwebtoken 原生提供的 verify() 方法进行验证返回结果。jsonwebtoken 的 sign() 方法用于生成 token ,而 verify() 方法当然则是用来解析 token。属于jwt配对生产的两个方法,所以koa-jwt这个中间件也没做什么事,无非就是用正则解析请求头,调用jwt的vertify方法验证token,在koa-jwt文件夹的index.js中,koa-jwt还调用koa-unless进行路由权限分发)

以上就是json web token的大体流程。

总结

以上所述是小编给大家介绍的koa2服务端使用jwt进行鉴权及路由权限分发的流程分析,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

Javascript 相关文章推荐
js压缩工具 yuicompressor 使用教程
Mar 31 Javascript
JavaScript模板入门介绍
Sep 26 Javascript
jQuery中验证表单提交方式及序列化表单内容的实现
Jan 06 Javascript
JavaScript截取字符串的Slice、Substring、Substr函数详解和比较
Mar 20 Javascript
JQuery 实现在同一页面锚点链接之间的平滑滚动
Oct 29 Javascript
javascript简单实现图片预加载
Dec 03 Javascript
canvas实现刮刮卡效果
Mar 14 Javascript
ionic2打包android时gradle无法下载的解决方法
Apr 05 Javascript
ionic3 懒加载
Aug 16 Javascript
解决Jstree 选中父节点时被禁用的子节点也会选中的问题
Dec 27 Javascript
vue中使用cookies和crypto-js实现记住密码和加密的方法
Oct 18 Javascript
layer iframe 设置关闭按钮的方法
Sep 12 Javascript
在小程序中推送模板消息的实现方法
Jul 22 #Javascript
javascript自定义日期比较函数用法示例
Jul 22 #Javascript
详解微信小程序自定义组件的实现及数据交互
Jul 22 #Javascript
教你30秒发布一个TypeScript包到NPM的方法步骤
Jul 22 #Javascript
详解vue为什么要求组件模板只能有一个根元素
Jul 22 #Javascript
微信小程序获取用户绑定手机号方法示例
Jul 21 #Javascript
Vue商品控件与购物车联动效果的实例代码
Jul 21 #Javascript
You might like
逐步提升php框架的性能
2008/01/10 PHP
php实现阿拉伯数字和罗马数字相互转换的方法
2015/04/17 PHP
php使用Jpgraph绘制简单X-Y坐标图的方法
2015/06/10 PHP
PHP检查网站是否宕机的方法示例
2017/07/24 PHP
关于php开启错误提示的总结
2019/09/24 PHP
一个很简单的办法实现TD的加亮效果.
2006/06/29 Javascript
070823更新的一个[消息提示框]组件 兼容ie7
2007/08/29 Javascript
JavaScript中判断对象类型的几种方法总结
2013/11/11 Javascript
js 中将多个逗号替换为一个逗号的代码
2014/06/07 Javascript
基于promise.js实现nodejs的promises库
2014/07/06 NodeJs
基于JS实现密码框(password)中显示文字提示功能代码
2016/05/27 Javascript
jQuery实现优雅的弹窗效果(6)
2017/02/08 Javascript
Nodejs 发送Post请求功能(发短信验证码例子)
2017/02/09 NodeJs
nodejs个人博客开发第三步 载入页面
2017/04/12 NodeJs
微信小程序 地图map实例详解
2017/06/07 Javascript
初探js和简单隐藏效果的实例
2017/11/23 Javascript
vue-cli启动本地服务局域网不能访问的原因分析
2018/01/22 Javascript
Node.js Windows Binary二进制文件安装方法
2019/05/16 Javascript
优雅的使用javascript递归画一棵结构树示例代码
2019/09/22 Javascript
微信小程序实现图片压缩
2019/12/03 Javascript
在vue中created、mounted等方法使用小结
2020/07/21 Javascript
详解vue路由
2020/08/05 Javascript
详解python 拆包可迭代数据如tuple, list
2017/12/29 Python
pytorch构建网络模型的4种方法
2018/04/13 Python
在python里面运用多继承方法详解
2019/07/01 Python
详解Python3 pandas.merge用法
2019/09/05 Python
Python迷宫生成和迷宫破解算法实例
2019/12/24 Python
如果NULL定义成#define NULL((char *)0)难道不就可以向函数传入不加转换的NULL了吗
2012/02/15 面试题
Linux文件系统类型
2012/09/16 面试题
如何写一个Java类既可以用作applet也可以用作java应用
2016/01/18 面试题
毕业生自荐书
2014/02/03 职场文书
挂科检讨书范文
2014/02/20 职场文书
小学学校评估方案
2014/06/08 职场文书
2015年环保局工作总结
2015/05/22 职场文书
2015年卫生院健康教育工作总结
2015/07/24 职场文书
Win11控制面板快捷键是什么?Win11打开控制面板的方法汇总
2022/07/07 数码科技