快捷導(dǎo)航

Nodejs中的JWT和Session的使用

更新時(shí)間：2018年08月21日 11:23:28 作者：?jiǎn)握{(diào)先生

這篇文章主要介紹了Nodejs中的JWT和Session的使用，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

最近的項(xiàng)目需要在node服務(wù)端做一個(gè)用戶登錄的校驗(yàn)以及權(quán)限攔截，專業(yè)一點(diǎn)叫用戶認(rèn)證與授權(quán)，經(jīng)過(guò)一番收集資料，目前常用的有兩種——JWT和Session

使用JWT

JWT是JsonWebTokens的簡(jiǎn)寫形式，具體是啥我就不詳細(xì)寫了，可以查看資料。
這里引入兩個(gè)插件，express-jwt和JsonWebTokens，-

JsonWebTokens：用作生成token
express-jwt：用作驗(yàn)證指定http請(qǐng)求的JsonWebTokens的有效性，如果有效就將JsonWebTokens的值設(shè)置到req.user里面，然后路由到相應(yīng)的router

express-jwt內(nèi)部引用了jsonwebtoken，對(duì)其封裝使用。使用JWT形式進(jìn)行認(rèn)證與授權(quán)的思路如下。

jwt認(rèn)證流程

在服務(wù)端中使用方式如下：

//安裝
npm i jsonwebtoken --save
npm i express-jwt --save

//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');

//定義簽名
const secret = 'salt';
//生成token
const token = jwt.sign({
  name: 123
}, secret, {
  expiresIn: 60 //秒到期時(shí)間
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU

//使用中間件驗(yàn)證token合法性
app.use(expressJwt ({
  secret: secret 
}).unless({
  path: ['/login', '/getUserInfo'] //除了這些地址，其他的URL都需要驗(yàn)證
}));

//攔截器
app.use(function (err, req, res, next) {
  //當(dāng)token驗(yàn)證失敗時(shí)會(huì)拋出如下錯(cuò)誤
  if (err.name === 'UnauthorizedError') {  
    //這個(gè)需要根據(jù)自己的業(yè)務(wù)邏輯來(lái)處理（ 具體的err值 請(qǐng)看下面）
    res.status(401).send('invalid token...');
  }
});

//定義一個(gè)接口，返回token給客戶端
app.get('/getUserInfo', function(req, res) {
  res.json({
    token: token
  })
})

客戶端中使用token的正確形式應(yīng)該是把token放在authorization 這個(gè)header里，對(duì)應(yīng)的值以Bearer開頭然后空一格

authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE

//采用axios可以這么寫
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//設(shè)置請(qǐng)求攔截器
instance.interceptors.request.use(function(config) {
  config.headers.authorization = `Bearer ${yourToken}` 
  return config;
})

使用Session

傳統(tǒng)的認(rèn)證和用戶識(shí)別分別采用如下形式

服務(wù)端：創(chuàng)建一個(gè)session對(duì)象保存用戶登錄信息和狀態(tài)，該對(duì)象有唯一ID，并返回一個(gè)cookie給客戶端
客戶端：請(qǐng)求api時(shí)發(fā)送http頭部自動(dòng)帶上cookie

這里使用cookie的方式需要引入兩個(gè)插件：

express-session：node端的session中間件，主要用作配置session的屬性并生成
cookie-parser：node端解析cookie對(duì)象

使用思路和JWT差不多，這里主要的區(qū)別在于客戶端請(qǐng)求資源時(shí)不用手動(dòng)在http請(qǐng)求的header添加標(biāo)識(shí)，瀏覽器會(huì)自動(dòng)加上cookie，具體使用方式如下

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
 
app.use(cookieParser('sessiontest'));
app.use(session({
  secret: 'sessiontest',//與cookieParser中的一致
  resave: true,  //(是否允許)當(dāng)客戶端并行發(fā)送多個(gè)請(qǐng)求時(shí)，其中一個(gè)請(qǐng)求在另一個(gè)請(qǐng)求結(jié)束時(shí)對(duì)session進(jìn)行修改覆蓋并保存。
  rolling: true,  //強(qiáng)制在每個(gè)響應(yīng)中重設(shè)cookie的過(guò)期時(shí)間，并重新開始計(jì)時(shí)
  saveUninitialized:true,  //初始化session時(shí)是否保存到存儲(chǔ)。默認(rèn)為true， 但是(后續(xù)版本)有可能默認(rèn)失效，所以最好手動(dòng)添加。
  cookie: {
    maxAge: 60 * 1000 //過(guò)期時(shí)間，單位毫秒
  }
}));

/**
 * 資源請(qǐng)求攔截器
 * 用戶端若登錄狀態(tài)過(guò)期或未登錄則自動(dòng)拋出錯(cuò)誤
 */
app.use(function(req, res, next) {
  let url = req.originalUrl;
  req.session.touch(); //刷新session過(guò)期時(shí)間
  if (url !== '/login' && !req.session.user) {
    res.status(401).send('登錄狀態(tài)已過(guò)期');
    return
  }
  next();
})

對(duì)比

作為一個(gè)實(shí)踐派人士，我把兩種都試了一遍，同時(shí)結(jié)合網(wǎng)上的博客歸納了如下對(duì)比

JWT無(wú)狀態(tài)，可擴(kuò)展和解耦。使用JWT不需要后端進(jìn)行記錄，每個(gè)token都是獨(dú)立的。而session的誕生就是為了解決http無(wú)狀態(tài)的問(wèn)題，這也就說(shuō)明服務(wù)端是有存儲(chǔ)每個(gè)用戶對(duì)應(yīng)的session對(duì)象的，擴(kuò)展性會(huì)更繁瑣些
跨域和CORS。每次發(fā)送請(qǐng)求到后端都需要檢查JWT，只要驗(yàn)證通過(guò)就能處理請(qǐng)求。而Cookie只能在單域和子域中發(fā)揮作用
JWT生成消耗一定的內(nèi)存，而且體積較大，最小的它都比cookie要大，如果JWT里包含了許多聲明，那問(wèn)題就比較嚴(yán)重了，由于每次向服務(wù)器發(fā)起請(qǐng)求都要攜帶token，太大了會(huì)造成請(qǐng)求緩慢
session比JWT好的地方在于在請(qǐng)求時(shí)瀏覽器會(huì)自動(dòng)帶http頭部帶上cookie，并且在用戶持續(xù)使用時(shí)會(huì)不斷地刷新session的過(guò)期時(shí)間，當(dāng)瀏覽器關(guān)閉時(shí)自動(dòng)清除session。相比之下JWT本身沒法做到隨著用戶的使用而更新或手動(dòng)清除，只能等自動(dòng)過(guò)期

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: