Nodejs中的JWT和Session的使用


Posted in NodeJs onAugust 21, 2018

最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session

使用JWT

JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,可以查看资料。
这里引入两个插件,express-jwt和JsonWebTokens,-

  1. JsonWebTokens:用作生成token
  2. express-jwt:用作验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router

express-jwt内部引用了jsonwebtoken,对其封装使用。使用JWT形式进行认证与授权的思路如下。

Nodejs中的JWT和Session的使用

jwt认证流程

在服务端中使用方式如下:

//安装
npm i jsonwebtoken --save
npm i express-jwt --save

//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');

//定义签名
const secret = 'salt';
//生成token
const token = jwt.sign({
  name: 123
}, secret, {
  expiresIn: 60 //秒到期时间
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU

//使用中间件验证token合法性
app.use(expressJwt ({
  secret: secret 
}).unless({
  path: ['/login', '/getUserInfo'] //除了这些地址,其他的URL都需要验证
}));

//拦截器
app.use(function (err, req, res, next) {
  //当token验证失败时会抛出如下错误
  if (err.name === 'UnauthorizedError') {  
    //这个需要根据自己的业务逻辑来处理( 具体的err值 请看下面)
    res.status(401).send('invalid token...');
  }
});

//定义一个接口,返回token给客户端
app.get('/getUserInfo', function(req, res) {
  res.json({
    token: token
  })
})

客户端中使用token的正确形式应该是把token放在authorization 这个header里, 对应的值以Bearer开头然后空一格

authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE

//采用axios可以这么写
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//设置请求拦截器
instance.interceptors.request.use(function(config) {
  config.headers.authorization = `Bearer ${yourToken}` 
  return config;
})

使用Session

传统的认证和用户识别分别采用如下形式

  • 服务端:创建一个session对象保存用户登录信息和状态,该对象有唯一ID,并返回一个cookie给客户端
  • 客户端:请求api时发送http头部自动带上cookie

这里使用cookie的方式需要引入两个插件:

  • express-session:node端的session中间件,主要用作配置session的属性并生成
  • cookie-parser:node端解析cookie对象

使用思路和JWT差不多,这里主要的区别在于客户端请求资源时不用手动在http请求的header添加标识,浏览器会自动加上cookie,具体使用方式如下

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
 
app.use(cookieParser('sessiontest'));
app.use(session({
  secret: 'sessiontest',//与cookieParser中的一致
  resave: true,  //(是否允许)当客户端并行发送多个请求时,其中一个请求在另一个请求结束时对session进行修改覆盖并保存。
  rolling: true,  //强制在每个响应中重设cookie的过期时间,并重新开始计时
  saveUninitialized:true,  //初始化session时是否保存到存储。默认为true, 但是(后续版本)有可能默认失效,所以最好手动添加。
  cookie: {
    maxAge: 60 * 1000 //过期时间,单位毫秒
  }
}));

/**
 * 资源请求拦截器
 * 用户端若登录状态过期或未登录则自动抛出错误
 */
app.use(function(req, res, next) {
  let url = req.originalUrl;
  req.session.touch(); //刷新session过期时间
  if (url !== '/login' && !req.session.user) {
    res.status(401).send('登录状态已过期');
    return
  }
  next();
})

对比

作为一个实践派人士,我把两种都试了一遍,同时结合网上的博客归纳了如下对比

  1. JWT无状态,可扩展和解耦。使用JWT不需要后端进行记录,每个token都是独立的。而session的诞生就是为了解决http无状态的问题,这也就说明服务端是有存储每个用户对应的session对象的,扩展性会更繁琐些
  2. 跨域和CORS。每次发送请求到后端都需要检查JWT,只要验证通过就能处理请求。而Cookie只能在单域和子域中发挥作用
  3. JWT生成消耗一定的内存,而且体积较大,最小的它都比cookie要大,如果JWT里包含了许多声明,那问题就比较严重了,由于每次向服务器发起请求都要携带token,太大了会造成请求缓慢
  4. session比JWT好的地方在于在请求时浏览器会自动带http头部带上cookie,并且在用户持续使用时会不断地刷新session的过期时间,当浏览器关闭时自动清除session。相比之下JWT本身没法做到随着用户的使用而更新或手动清除,只能等自动过期

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
nodejs获取本机内网和外网ip地址的实现代码
Jun 01 NodeJs
浅析Nodejs npm常用命令
Jun 14 NodeJs
nodejs开发——express路由与中间件
Mar 24 NodeJs
深入nodejs中流(stream)的理解
Mar 27 NodeJs
nodejs项目windows下开机自启动的方法
Nov 22 NodeJs
nodeJs实现基于连接池连接mysql的方法示例
Feb 10 NodeJs
NodeJs实现简单的爬虫功能案例分析
Dec 05 NodeJs
Nodejs实现的操作MongoDB数据库功能完整示例
Feb 02 NodeJs
nodejs语言实现验证码生成功能的示例代码
Oct 13 NodeJs
nodejs对mongodb数据库的增加修删该查实例代码
Jan 05 NodeJs
Nodejs文件上传、监听上传进度的代码
Mar 27 NodeJs
nodejs 如何手动实现服务器
Aug 20 #NodeJs
nodejs实现一个word文档解析器思路详解
Aug 14 #NodeJs
NodeJs项目中关闭ESLint的方法
Aug 09 #NodeJs
nodejs之koa2请求示例(GET,POST)
Aug 07 #NodeJs
NodeJS实现自定义流的方法
Aug 01 #NodeJs
nodejs 生成和导出 word的实例代码
Jul 31 #NodeJs
nodejs(officegen)+vue(axios)在客户端导出word文档的方法
Jul 31 #NodeJs
You might like
解析zend Framework如何自动加载类
2013/06/28 PHP
jQuery中的RadioButton,input,CheckBox取值赋值实现代码
2014/02/18 PHP
PHP判断表单复选框选中状态完整例子
2014/06/24 PHP
php静态文件返回304技巧分享
2015/01/06 PHP
PHP生成随机密码方法汇总
2015/08/27 PHP
javascript 面向对象继承
2009/11/26 Javascript
JavaScript 模拟用户单击事件
2009/12/31 Javascript
javascript 四则运算精度修正函数代码
2010/05/31 Javascript
JavaScript中变量提升 Hoisting
2012/07/03 Javascript
javascript 禁用IE工具栏,导航栏等等实现代码
2013/04/01 Javascript
Jquery 模板数据绑定插件的使用方法详解
2013/07/08 Javascript
JavaScript中数据结构与算法(一):栈
2015/06/19 Javascript
JavaScript设计模式经典之命令模式
2016/02/24 Javascript
Angularjs使用ng-repeat中$even和$odd属性的注意事项
2016/12/31 Javascript
js 单引号替换成双引号,双引号替换成单引号的实现方法
2017/02/16 Javascript
JavaScript实现类似淘宝的购物车效果
2017/03/16 Javascript
layui prompt 设置允许空白提交的方法
2019/09/24 Javascript
Python日志模块logging简介
2015/04/13 Python
Python实现合并两个有序链表的方法示例
2019/01/31 Python
python选取特定列 pandas iloc,loc,icol的使用详解(列切片及行切片)
2019/08/06 Python
python批量图片处理简单示例
2019/08/06 Python
解决Python3.8用pip安装turtle-0.0.2出现错误问题
2020/02/11 Python
Windows+Anaconda3+PyTorch+PyCharm的安装教程图文详解
2020/04/03 Python
Python参数传递实现过程及原理详解
2020/05/14 Python
tensorflow 动态获取 BatchSzie 的大小实例
2020/06/30 Python
有关pycharm登录github时有的时候会报错connection reset的问题
2020/09/15 Python
一款纯css3实现的颜色渐变按钮的代码教程
2014/11/12 HTML / CSS
求职简历中的自我评价分享
2013/12/08 职场文书
高中美术教学反思
2014/01/19 职场文书
学校节能减排方案
2014/06/13 职场文书
应聘教师求职信
2014/07/19 职场文书
结婚幸福感言
2015/08/01 职场文书
新教师教学工作总结
2015/08/12 职场文书
2016父亲节感恩话语
2015/12/09 职场文书
2019年XX公司的晨会制度及流程!
2019/07/23 职场文书
css3属性选择器 “~”(波浪号) “,”(逗号) “+”(加号)和 “>”(大于号)
2022/04/19 HTML / CSS