Nodejs中的JWT和Session的使用


Posted in NodeJs onAugust 21, 2018

最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session

使用JWT

JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,可以查看资料。
这里引入两个插件,express-jwt和JsonWebTokens,-

  1. JsonWebTokens:用作生成token
  2. express-jwt:用作验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router

express-jwt内部引用了jsonwebtoken,对其封装使用。使用JWT形式进行认证与授权的思路如下。

Nodejs中的JWT和Session的使用

jwt认证流程

在服务端中使用方式如下:

//安装
npm i jsonwebtoken --save
npm i express-jwt --save

//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');

//定义签名
const secret = 'salt';
//生成token
const token = jwt.sign({
  name: 123
}, secret, {
  expiresIn: 60 //秒到期时间
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU

//使用中间件验证token合法性
app.use(expressJwt ({
  secret: secret 
}).unless({
  path: ['/login', '/getUserInfo'] //除了这些地址,其他的URL都需要验证
}));

//拦截器
app.use(function (err, req, res, next) {
  //当token验证失败时会抛出如下错误
  if (err.name === 'UnauthorizedError') {  
    //这个需要根据自己的业务逻辑来处理( 具体的err值 请看下面)
    res.status(401).send('invalid token...');
  }
});

//定义一个接口,返回token给客户端
app.get('/getUserInfo', function(req, res) {
  res.json({
    token: token
  })
})

客户端中使用token的正确形式应该是把token放在authorization 这个header里, 对应的值以Bearer开头然后空一格

authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE

//采用axios可以这么写
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//设置请求拦截器
instance.interceptors.request.use(function(config) {
  config.headers.authorization = `Bearer ${yourToken}` 
  return config;
})

使用Session

传统的认证和用户识别分别采用如下形式

  • 服务端:创建一个session对象保存用户登录信息和状态,该对象有唯一ID,并返回一个cookie给客户端
  • 客户端:请求api时发送http头部自动带上cookie

这里使用cookie的方式需要引入两个插件:

  • express-session:node端的session中间件,主要用作配置session的属性并生成
  • cookie-parser:node端解析cookie对象

使用思路和JWT差不多,这里主要的区别在于客户端请求资源时不用手动在http请求的header添加标识,浏览器会自动加上cookie,具体使用方式如下

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
 
app.use(cookieParser('sessiontest'));
app.use(session({
  secret: 'sessiontest',//与cookieParser中的一致
  resave: true,  //(是否允许)当客户端并行发送多个请求时,其中一个请求在另一个请求结束时对session进行修改覆盖并保存。
  rolling: true,  //强制在每个响应中重设cookie的过期时间,并重新开始计时
  saveUninitialized:true,  //初始化session时是否保存到存储。默认为true, 但是(后续版本)有可能默认失效,所以最好手动添加。
  cookie: {
    maxAge: 60 * 1000 //过期时间,单位毫秒
  }
}));

/**
 * 资源请求拦截器
 * 用户端若登录状态过期或未登录则自动抛出错误
 */
app.use(function(req, res, next) {
  let url = req.originalUrl;
  req.session.touch(); //刷新session过期时间
  if (url !== '/login' && !req.session.user) {
    res.status(401).send('登录状态已过期');
    return
  }
  next();
})

对比

作为一个实践派人士,我把两种都试了一遍,同时结合网上的博客归纳了如下对比

  1. JWT无状态,可扩展和解耦。使用JWT不需要后端进行记录,每个token都是独立的。而session的诞生就是为了解决http无状态的问题,这也就说明服务端是有存储每个用户对应的session对象的,扩展性会更繁琐些
  2. 跨域和CORS。每次发送请求到后端都需要检查JWT,只要验证通过就能处理请求。而Cookie只能在单域和子域中发挥作用
  3. JWT生成消耗一定的内存,而且体积较大,最小的它都比cookie要大,如果JWT里包含了许多声明,那问题就比较严重了,由于每次向服务器发起请求都要携带token,太大了会造成请求缓慢
  4. session比JWT好的地方在于在请求时浏览器会自动带http头部带上cookie,并且在用户持续使用时会不断地刷新session的过期时间,当浏览器关闭时自动清除session。相比之下JWT本身没法做到随着用户的使用而更新或手动清除,只能等自动过期

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
NodeJS与Mysql的交互示例代码
Aug 18 NodeJs
Nodejs实现的一个简单udp广播服务器、客户端
Sep 25 NodeJs
nodejs中转换URL字符串与查询字符串详解
Nov 26 NodeJs
PHP和NodeJs开发的应用如何共用Session
Apr 16 NodeJs
浅析nodejs实现Websocket的数据接收与发送
Nov 19 NodeJs
nodejs实现爬取网站图片功能
Dec 14 NodeJs
nodejs检测因特网是否断开的解决方案
Apr 17 NodeJs
nodejs中各种加密算法的实现详解
Jul 11 NodeJs
nodejs使用node-xlsx生成excel的方法示例
Aug 22 NodeJs
Nodejs监控事件循环异常示例详解
Sep 22 NodeJs
Nodejs实现图片上传、压缩预览、定时删除功能
Oct 25 NodeJs
nodejs nedb 封装库与使用方法示例
Feb 06 NodeJs
nodejs 如何手动实现服务器
Aug 20 #NodeJs
nodejs实现一个word文档解析器思路详解
Aug 14 #NodeJs
NodeJs项目中关闭ESLint的方法
Aug 09 #NodeJs
nodejs之koa2请求示例(GET,POST)
Aug 07 #NodeJs
NodeJS实现自定义流的方法
Aug 01 #NodeJs
nodejs 生成和导出 word的实例代码
Jul 31 #NodeJs
nodejs(officegen)+vue(axios)在客户端导出word文档的方法
Jul 31 #NodeJs
You might like
PHP Warning: Module 'modulename' already loaded in问题解决办法
2015/03/16 PHP
PHP Yaf框架的简单安装使用教程(推荐)
2016/06/08 PHP
javascript的键盘控制事件说明
2008/04/15 Javascript
javascript 数据类型转换(parseInt,parseFloat)
2010/07/20 Javascript
mailto的使用技巧分享
2012/12/21 Javascript
Select标签下拉列表二级联动级联实例代码
2014/02/07 Javascript
jQuery标签替换函数replaceWith()的使用例子
2014/08/28 Javascript
jQuery实现购物车数字加减效果
2015/03/14 Javascript
flash+jQuery实现可关闭及重复播放的压顶广告
2015/04/15 Javascript
jquery的checkbox,radio,select等方法小结
2016/08/30 Javascript
jQuery中animate的几种用法与注意事项
2016/12/12 Javascript
Angular.js与node.js项目里用cookie校验账户登录详解
2017/02/22 Javascript
Angular2中如何使用ngx-translate进行国际化
2017/05/21 Javascript
基于vue.js快速搭建图书管理平台
2017/10/29 Javascript
vue中keep-alive的用法及问题描述
2018/05/15 Javascript
Vue异步组件处理路由组件加载状态的解决方案
2018/09/07 Javascript
JavaScript数据结构与算法之二叉树遍历算法详解【先序、中序、后序】
2019/02/21 Javascript
js实现网页同时进行多个倒计时功能
2019/02/25 Javascript
React实现类似淘宝tab居中切换效果的示例代码
2020/06/02 Javascript
[04:45]DOTA2-DPC中国联赛正赛 iG vs LBZS 赛后选手采访
2021/03/11 DOTA
python实现类的静态变量用法实例
2015/05/08 Python
基于Python的关键字监控及告警
2017/07/06 Python
python获取代理IP的实例分享
2018/05/07 Python
基于python的socket实现单机五子棋到双人对战
2020/03/24 Python
python实现PID算法及测试的例子
2019/08/08 Python
python中数据库like模糊查询方式
2020/03/02 Python
matplotlib基础绘图命令之errorbar的使用
2020/08/13 Python
如何使用Pytorch搭建模型
2020/10/26 Python
美国背景检查、公共记录和人物搜索网站:BeenVerified
2018/02/25 全球购物
机械专业毕业生自荐信
2013/11/02 职场文书
浪费资源的建议书
2014/03/12 职场文书
中医学专业自荐信范文
2014/04/01 职场文书
高中生家长寄语大全
2014/04/03 职场文书
个人自荐材料
2014/05/23 职场文书
协商一致解除劳动合同协议书
2014/09/14 职场文书
深入理解python协程
2021/06/15 Python