koa2服务端使用jwt进行鉴权及路由权限分发的流程分析


Posted in Javascript onJuly 22, 2019

大体思路

后端书写REST api时,有一些api是非常敏感的,比如获取用户个人信息,查看所有用户列表,修改密码等。如果不对这些api进行保护,那么别人就可以很容易地获取并调用这些 api 进行操作。

所以对于一些api,在调用之前,我们在服务端必须先对操作者进行“身份认证”,这就是所谓的鉴权。

Json Web Token 简称为 JWT,它定义了一种通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名,复杂度较高,换来的是更可靠的安全系数。

整个认证的流程大体如下:

首先用户登录的接口是不用token认证的,因为这个接口本身就是token的产生来源。前端输入用户名和密码后请求服务器登录接口,服务器验证用户名密码正确后,生成token并返回给前端,前端存储token,并在后面的请求中把token带在请求头中传给服务器,服务器验证token有效,才可以进行下一步操作。

服务器生成token

由于我们的服务端使用 Koa2 框架进行开发,除了要使用到 jsonwebtoken 库之外,还要使用一个 koa-jwt 中间件,该中间件针对 Koa 对 jsonwebtoken 进行了封装,使用起来更加方便。

 const router = require('koa-router')();
const jwt = require('jsonwebtoken');
const userModel = require('../models/userModel.js');
router.post('/login', async (ctx) => {
 const data = ctx.request.body;const result = await userModel.findOne({
  name: data.name,
  password: data.password
 })
 if(result !== null){
  const token = jwt.sign({
   name: result.name,
   _id: result._id
  }, 'zhangnan', { expiresIn: '2h' });
  return ctx.body = {
   code: 200,
   token: token,
   msg: '登录成功'
  }
 }else{
  return ctx.body = {
   code: 400,
   token: null,
   msg: '用户名或密码错误'
  }
 }
});
module.exports = router;

(注意:这里暂时不讨论加盐加密校验,实际项目中密码不可能这样明文验证,这里只是为了着重讨论token鉴权。在验证了用户名密码正确之后,就可以调用 jsonwebtoken 的 sign() 方法来生成token,接收三个参数,第一个是载荷,用于编码后存储在 token 中的数据,也是验证 token 后可以拿到的数据;第二个是密钥,自己定义的,随便写个什么单词都可以,但是验证的时候一定要相同的密钥才能解码;第三个是options,可以设置 token 的过期时间。)

前端获取token

接下来就是前端获取 token,这里是在 vue.js 中使用 axios 进行请求,请求成功之后拿到 token 保存到 localStorage 中。

submit(){
 axios.post('/login', {
  name: this.username,
  password: this.password
 }).then(res => {
  if(res.code === 200){
   localStorage.setItem('token', res.data.token);
  }else{
   this.$message('登录失败')
  }
 })
}

然后前端在请求后端api时,就把 token 带在请求头中传给服务器进行验证。每次请求都要获取 localStorage 中的 token,这样很麻烦,这里使用了 axios 的请求拦截器,进行全局设置,对每次请求都进行了取 token 放到 headers 中的操作。

axios.interceptors.request.use(config => {
 const token = localStorage.getItem('token');
 config.headers.common['Authorization'] = 'Bearer ' + token;
 return config;
})

(这段代码,如果是vue项目,可以直接放在main.js中设置,表示每次请求前都会往请求头的authorization里塞一个token,至于那个Bearer 是koa-jwt的一个标识单词,方便解析)

服务器验证token

接下来服务器收到前端发过来的token后,就可以进行验证。

const koa = require('koa');
const koajwt = require('koa-jwt');
const app = new koa();

app.use(koajwt({
 secret: 'zhangnan'
}).unless({
  path: [/\/register/, /\/login/]
}));

(在这里没有定义错误处理函数,由于出现错误后会返回401,所以我直接就让前端来处理这种异常情况,给出一个错误的交互提示即可)

分析koa-jwt源码

我们在node_mudules里面找到koa-jwt/lib/resolvers文件夹下的auth-header.js文件,看下koa-jwt做了些什么

(可以看到它是先判断请求头中是否带了 authorization,如果有,则通过正则将 token 从 authorization 中分离出来,这里我们也看到了Bearer这个单词。如果没有 authorization,则代表了客户端没有传 token 到服务器,这时候就抛出 401 错误状态。)

再看看上一级的vertify.js。

(可以看到在 verify.js 中,它就是调用 jsonwebtoken 原生提供的 verify() 方法进行验证返回结果。jsonwebtoken 的 sign() 方法用于生成 token ,而 verify() 方法当然则是用来解析 token。属于jwt配对生产的两个方法,所以koa-jwt这个中间件也没做什么事,无非就是用正则解析请求头,调用jwt的vertify方法验证token,在koa-jwt文件夹的index.js中,koa-jwt还调用koa-unless进行路由权限分发)

以上就是json web token的大体流程。

总结

以上所述是小编给大家介绍的koa2服务端使用jwt进行鉴权及路由权限分发的流程分析,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

Javascript 相关文章推荐
js计算页面刷新的次数
Jul 20 Javascript
Google Map API更新实现用户自定义标注坐标
Jul 29 Javascript
js 图片随机不定向浮动的实现代码
Jul 02 Javascript
jQuery中contents()方法用法实例
Jan 08 Javascript
JavaScript中的函数模式详解
Feb 11 Javascript
基于jquery实现select选择框内容左右移动添加删除代码分享
Aug 25 Javascript
利用jQuery设计一个简单的web音乐播放器的实例分享
Mar 08 Javascript
快速掌握Node.js中setTimeout和setInterval的使用方法
Mar 21 Javascript
JSON 必知必会 观后记
Oct 27 Javascript
移动端如何用下拉刷新的方式实现上拉加载
Dec 10 Javascript
微信小程序绑定手机号获取验证码功能
Oct 22 Javascript
原生js实现弹窗消息动画
Nov 20 Javascript
在小程序中推送模板消息的实现方法
Jul 22 #Javascript
javascript自定义日期比较函数用法示例
Jul 22 #Javascript
详解微信小程序自定义组件的实现及数据交互
Jul 22 #Javascript
教你30秒发布一个TypeScript包到NPM的方法步骤
Jul 22 #Javascript
详解vue为什么要求组件模板只能有一个根元素
Jul 22 #Javascript
微信小程序获取用户绑定手机号方法示例
Jul 21 #Javascript
Vue商品控件与购物车联动效果的实例代码
Jul 21 #Javascript
You might like
php检测iis环境是否支持htaccess的方法
2014/02/18 PHP
PHP连接MySQL数据的操作要点
2015/03/20 PHP
php 一维数组的循环遍历实现代码
2017/04/10 PHP
PHP实现的数据对象映射模式详解
2019/03/20 PHP
jQuery ReferenceError: $ is not defined 错误的处理办法
2013/05/10 Javascript
JQuery each打印JS对象的方法
2013/11/13 Javascript
JavaScript中判断原生函数检查function是否是原生代码
2014/09/09 Javascript
node.js中的events.emitter.removeListener方法使用说明
2014/12/10 Javascript
angularJS 中$attrs方法使用指南
2015/02/09 Javascript
javascript实现数独解法
2015/03/14 Javascript
jquery实现带缩略图的全屏图片画廊效果实例
2015/06/25 Javascript
js随机生成26个大小写字母
2016/02/12 Javascript
Bootstrap学习笔记之css组件(3)
2016/06/07 Javascript
js实现密码强度检验
2017/01/15 Javascript
Angular之指令Directive用法详解
2017/03/01 Javascript
bootstrap datetimepicker控件位置异常的解决方法
2017/11/23 Javascript
windows下更新npm和node的方法
2017/11/30 Javascript
Angular实现的简单查询天气预报功能示例
2017/12/27 Javascript
微信小程序日期时间选择器使用方法
2018/02/01 Javascript
浅谈VueJS SSR 后端绘制内存泄漏的相关解决经验
2018/12/20 Javascript
JavaScript函数式编程(Functional Programming)高阶函数(Higher order functions)用法分析
2019/05/22 Javascript
JS+css3实现幻灯片轮播图
2020/08/14 Javascript
一篇文章让你搞懂JavaScript 原型和原型链
2020/11/23 Javascript
解决新django中的path不能使用正则表达式的问题
2018/12/18 Python
Python+OpenCV图片局部区域像素值处理详解
2019/01/23 Python
Python Opencv任意形状目标检测并绘制框图
2019/07/23 Python
利用python-pypcap抓取带VLAN标签的数据包方法
2019/07/23 Python
Django+uni-app实现数据通信中的请求跨域的示例代码
2019/10/12 Python
python GUI库图形界面开发之PyQt5打印控件QPrinter详细使用方法与实例
2020/02/28 Python
浅析Python 多行匹配模式
2020/07/24 Python
详解pytorch中squeeze()和unsqueeze()函数介绍
2020/09/03 Python
美国校园市场:OCM
2017/06/08 全球购物
机电工程专业应届生求职信
2013/10/03 职场文书
教师应聘自荐信范文
2014/03/14 职场文书
2019年聘任书的写作格式及范文!
2019/07/03 职场文书
vue如何清除浏览器历史栈
2022/05/25 Vue.js