用户认证:jwt和session的Nodejs实现

上张贴admin发表回复

一,jwt实现

1,jwt认证特点

toenk是保存在前端,安全性低无法撤销,内容过长时每次请求传输浪费资源。

JWT的最佳用途是一次性授权Token:

有效期短

只希望被使用一次

如:注册后发一封邮件让其激活账户,邮件中的链接

2,jwt认证流程

登录请求通过

服务端生成token返回到前端

前端将token保存到localStorage或cookie

后面的http请求把token放到headers

服务端验证token是否有效

3,nodejs中的实现

生成token,在登录成功后调用:createToken.js

 var jwt = require('jsonwebtoken') module.exports = function (name){ const token = jwt.sign({ name:name },process.env.JWT_SECRET,60*5) return token; }

校验token,需要校验的接口前调用:checkToken.js

// 验证token中间件 var jwt = require('jsonwebtoken') module.exports = function (req, res, next) { const token = req.headers['authorization'] if (token) { // 检验token信息是否过期 jwt.verify(token, process.env.JWT_SECRET, function(err, decoded) { if (err) { return res.status(403).json({ code: 'error', error: 'token失效' }) } else { req.tokenInfo= decoded next() } }) }else{ return res.status(403).json({code: 'error', error: '没有权限'}) } }

调用checkToken

var express = require('express'); var checkToekn = require('../middleware/checkToken'); var router = express.Router(); router.get('/admin',checkToekn,function (req,res,next){ res.send({ type:true, name:'dailu' }); }); module.exports = router

二,session实现

1,session认证特点

sessionid保存在前端,session对象保存在后端数据库(可保存在内存,但不建议)。

2,session认证流程

登录请求通过

服务端创建一个session,然后将其存储在数据库中

服务器为用户生成一个sessionId,并写到Cookie

后续前端请求会自动带上sessionId

服务端验证sessionId是否有效

3,nodejs中的实现

我这里使用mongodb来存储,用connect-mongodb-session来搞定

... var session = require('express-session') var MongoDBStore = require('connect-mongodb-session')(session); var app = express(); ... var store = new MongoDBStore({ uri: 'mongodb://localhost/test', collection: 'mySessions' }, function(error){ if(error){ console.log('MongoDBStore',error) } }); store.on('error', function(error) { console.log('store',error) }); app.use(session({ secret: 'abc', cookie: { maxAge: 1000 * 60 * 60 * 24 * 7 // 1 week }, store: store, resave: true, saveUninitialized: true })); app.use(function (req, res, next) { let url = req.originalUrl.split('?')[0]; console.log(url,req.session.username); if (url !== '/user/login' && url !== '/user/register' && !req.session.username) { const resData={ head: { code: '44444444', msg: '请先登录' }, body: null } res.end(JSON.stringify(resData)); return } next(); }) routes(app); module.exports = app;

4,个人觉得大多情况用session好一些,无需前端配合,实现也简单。session带来的开销对于现在的服务器基本上可忽略。

更多前端精选请关注公众号【topitcode

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注