快捷導(dǎo)航

koa2 用戶注冊(cè)、登錄校驗(yàn)與加鹽加密的實(shí)現(xiàn)方法

更新時(shí)間：2019年07月22日 10:59:56 作者：陌上兮月

這篇文章主要介紹了koa2 用戶注冊(cè)、登錄校驗(yàn)與加鹽加密的實(shí)現(xiàn)方法，本文給大家介紹的非常詳細(xì)，具有一定的參考借鑒價(jià)值 ,需要的朋友可以參考下

加密與解密

　先介紹一下關(guān)于服務(wù)端用戶名跟密碼的存儲(chǔ)狀態(tài)，我們知道當(dāng)前端在注冊(cè)一個(gè)新用戶時(shí)，會(huì)在表單內(nèi)填入用戶名和密碼，并通過post請(qǐng)求提交到服務(wù)器，服務(wù)器再把用戶名和密碼從ctx.request.body中拿出來，存入到數(shù)據(jù)庫(kù)的一張表里。這張表通常會(huì)被命名為users。

　　關(guān)鍵在于，服務(wù)器如何存入用戶名和密碼到數(shù)據(jù)庫(kù)。直接存？不可能的，這樣太不安全了，永遠(yuǎn)不要在一張表中出現(xiàn)全部用戶名和密碼一覽無(wú)余的危險(xiǎn)情況。

　　所以比較好的處理方法是這樣的，服務(wù)器先對(duì)用戶的密碼進(jìn)行加鹽加密，再存到數(shù)據(jù)庫(kù)。

　　那密碼驗(yàn)證呢？則是接收前端輸入的明文密碼，與數(shù)據(jù)庫(kù)中相應(yīng)的加密密碼進(jìn)行比對(duì)，如果正確，則表示登錄成功。注意：如果有人拿到這個(gè)加密的密碼，也是沒用的。因?yàn)楸葘?duì)正誤的方法已經(jīng)在服務(wù)器寫死，只能是比對(duì)明文密碼與加密密碼是否吻合。如果接收到兩個(gè)一模一樣的加密密碼，驗(yàn)證也不會(huì)通過。

　　至于如何比對(duì)明文密碼與加密密碼，不用擔(dān)心，加密解密的方法都是一起配對(duì)生產(chǎn)的。bcryptjs就是這樣一款不錯(cuò)的加解密工具。（因?yàn)樵趙indows上安裝bcrypt會(huì)報(bào)錯(cuò)，據(jù)說其他系統(tǒng)沒問題，所以改為安裝bcryptjs，其api和使用方法與bcrypt完全一樣）

　　我在一個(gè)js模塊中定義了兩個(gè)方法，一個(gè)加密，一個(gè)解密。在加密算法中，首先我們需要生成鹽，所謂鹽，就是先在明文密碼中混入一些無(wú)規(guī)則的字符。傳入的數(shù)字越大，代表混入的鹽越復(fù)雜。最后通過hashSync方法生成加密密碼并返回。而解密方法就更加簡(jiǎn)單，直接調(diào)用封裝的compareSync方法進(jìn)行明文密碼與加密密碼比對(duì)。

用戶注冊(cè)

　　在服務(wù)端路由模塊，暴露一個(gè)register接口，用于接收前端注冊(cè)信息，對(duì)密碼進(jìn)行加鹽加密，并存入數(shù)據(jù)庫(kù)的操作。

const router = require("koa-router")();
const UserModel = require("../schema/user");
const Crypt = require("./crypt");
const jwt = require("jsonwebtoken");
// 新增一名用戶
router.post("/register", async ctx => {
 const UserEntity = new UserModel(ctx.request.body);
 UserEntity.password = Crypt.encrypt(UserEntity.password);
 await UserEntity.save()
 .then(() => {
  ctx.body = {
  code: 200,
  msg: "register successfuly"
  };
 })
 .catch(() => {
  ctx.body = {
  code: 500,
  msg: "register failed"
  };
 });
});

（看一下我這段代碼，有幾個(gè)需要說明的地方：第一，我是通過userModel這一個(gè)模型的save方法將這條數(shù)據(jù)存入mongoDB數(shù)據(jù)庫(kù)中，至于model、schema的概念問題，先不在這里贅述；第二：存儲(chǔ)失敗的原因可能是網(wǎng)絡(luò)問題，服務(wù)端程序出錯(cuò)，但最大的可能還是因?yàn)槲以趗serSchema里定義了用戶名的不可重復(fù)性，也就是所謂的“該用戶名已存在”）。

　　為了闡述方便，這里將userModel的定義代碼貼出來：

登錄校驗(yàn)

　　讓我們回到服務(wù)端路由模塊，看下怎樣去完成一個(gè)登錄校驗(yàn)。

// 登錄校驗(yàn)
router.post("/login", async ctx => {
 const data = ctx.request.body;
 await UserModel.findOne({ account: data.account })
 .then(res => {
  const checkPassword = Crypt.decrypt(data.password, res.password);
  if (checkPassword) {
  const token = jwt.sign({ account: res.account }, "zhangnan", {
   expiresIn: "2h"
  });
  ctx.body = { code: 200, msg: "successfuly login", token: token };
  } else {
  ctx.body = { code: 500, msg: "wrong password" };
  }
 })
 .catch(() => {
  ctx.body = { code: 501, msg: "user does not exist" };
 });
});

　　首先，我們根據(jù)用戶輸入的用戶名去數(shù)據(jù)庫(kù)查找用戶信息，如果查不到，說明用戶名不存在，這是第一層邏輯。

　　如果查到了，則調(diào)用剛剛定義好的解密方法進(jìn)行明文密碼與加密密碼比對(duì)，如錯(cuò)誤，則告訴前端密碼錯(cuò)誤；如正確，則調(diào)用jwt的sign方法簽發(fā)一個(gè)token給前端。簽發(fā)的內(nèi)容是用戶名；后面前端再發(fā)來請(qǐng)求并攜帶這個(gè)token時(shí)，如果驗(yàn)證到token有效，那解析出來的用戶名就是服務(wù)器判斷前端請(qǐng)求身份的標(biāo)識(shí)，它告訴服務(wù)器“我是xxx，且我處于已登錄狀態(tài)”。這是第二層邏輯。

總結(jié)

以上所述是小編給大家介紹的koa2 用戶注冊(cè)、登錄校驗(yàn)與加鹽加密的實(shí)現(xiàn)方法,希望對(duì)大家有所幫助，如果大家有任何疑問請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！
如果你覺得本文對(duì)你有幫助，歡迎轉(zhuǎn)載，煩請(qǐng)注明出處，謝謝！

您可能感興趣的文章: