快捷導(dǎo)航

node.js實(shí)現(xiàn)身份認(rèn)證的示例代碼

更新時間：2022年04月17日 10:28:21 作者：Heymar-10

本文主要介紹了 node.js實(shí)現(xiàn)身份認(rèn)證的示例代碼，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

請問昨天結(jié)束的早是對堆積在了今天嗎，今天還來加個班更博，看在這個毅力的份上能否給億點(diǎn)點(diǎn)推薦。

有個好消息有個壞消息，先說壞消息吧，就是在這么學(xué)下去我急需急支糖漿，來回顧回顧前面的知識，這幾天學(xué)的太急了，搞得有點(diǎn)推著走的意思，好消息就是今天的內(nèi)容是最后最后node的基礎(chǔ)內(nèi)容了，果然天不負(fù)我，整完然后有兩個大案例，做完我就從上次復(fù)習(xí)那里開始一直復(fù)習(xí)過來，然后全部不欠賬，就昂首挺胸的走進(jìn)vue了，等等，這個學(xué)完可以進(jìn)去了吧。

1.今天的第一個內(nèi)容說一下web開發(fā)模式，今天基本就是講一個身份認(rèn)證的內(nèi)容，我們的web開發(fā)模式呢分為兩種，一種是服務(wù)器渲染模式，就是通過服務(wù)器進(jìn)行一個字符串拼接，將html頁面拼接出來，然后直接返回給客戶端，這樣一來就不需要我們的ajax了，直接給客戶端就可以了，他的優(yōu)點(diǎn)呢就是前端耗時少，畢竟都給服務(wù)器做了還有前端什么事，還有他也有利于seo優(yōu)化，他的缺點(diǎn)就是占用服務(wù)器資源，而且不利于前后端分離開發(fā)效率低。

第二個模式：前后端分離的模式，它是依賴于ajax的一個廣泛應(yīng)用，后端負(fù)責(zé)編寫api接口，前端就負(fù)責(zé)調(diào)用接口就完事了。他的一個優(yōu)點(diǎn)就是開發(fā)體驗(yàn)好、畢竟前后端分離，用戶體驗(yàn)也好，也減輕了服務(wù)器的壓力。

但是缺點(diǎn)就是不利于seo的優(yōu)化。

2.然后我們進(jìn)入身份認(rèn)證、

什么事身份認(rèn)證？

通過一定的手段對用戶身份進(jìn)行確認(rèn)的方式。

服務(wù)器渲染開發(fā)用的就是session認(rèn)證，而我們的前后端分離用的就是jwt認(rèn)證，兩者都各有各的優(yōu)點(diǎn)誰也不讓誰。

3.先來說下session吧

首先了解一下http無狀態(tài)性，就是指客戶端每次的http請求都是獨(dú)立的，連續(xù)多個請求間沒有直接關(guān)系，服務(wù)器也不會主動保留每次http請求狀態(tài)（就像收銀員他能記住每個來的客戶是會員嗎？）

突破無狀態(tài)限制。

超市突破這種限制的方式就是給每個會員發(fā)會員卡是吧，在我們web領(lǐng)域這種方式就是cookie。

cookie，是存儲在用戶瀏覽器一段不超過4kb的字符串，它是由name、value以及有效期。安全性，適用范圍的可選屬性組成，在不同的域名下，我們的cookie是各自獨(dú)立的，每當(dāng)客戶端發(fā)起請求，會自動把當(dāng)前域名下的所有cookie發(fā)給服務(wù)器，注意只是當(dāng)前域名下。

他的特性就是：自動發(fā)送、域名獨(dú)立、過期時限、4kb限制

3.1cookie在身份認(rèn)證中的作用

當(dāng)我們客戶端第一次請求服務(wù)器的時候，服務(wù)器會通過響應(yīng)頭向客戶端發(fā)送一個身份認(rèn)證的cookie，我們的瀏覽器就會把這個cookie存儲起來，當(dāng)我們下一次請求的時候，就會直接發(fā)送這個cookie也就是前面說的會自動發(fā)送，即可證明身份。

要注意我們的cookie是不具有安全性的，瀏覽器還提供了讀寫cookie的api，所以cookie很容易被偽造，就像我們的會員卡也有偽造的一樣。所以不要用cookie存儲重要數(shù)據(jù)，包括我們jwt也不能存后面會說到。

3.2那么有沒有方法來提高我們cookie的安全性呢？

那就是session認(rèn)證，就好比我們的會員卡?刷卡的機(jī)制就能破除偽造卡了。

session認(rèn)證機(jī)制：

首先我們的客戶端登錄賬號密碼發(fā)送了登錄請求，服務(wù)器會開始驗(yàn)證，當(dāng)驗(yàn)證成功后，會將其存儲在服務(wù)器的內(nèi)存中，同時通過響應(yīng)頭返回一個對應(yīng)的cookie字符串，我們的瀏覽器就會把這個字符串保存在當(dāng)前域名下，當(dāng)我們再次請求的時候，就會把域名下所有cookie一起發(fā)送服務(wù)器，服務(wù)器就會去找對只對應(yīng)的cookie匹配成功就能找到你信息了，然后就認(rèn)證成功了

3.3說了這么多怎么來再服務(wù)器端使用我們的sesson，首先安裝導(dǎo)入兩部曲然后還需要配置，注意配置是固定寫法，secret是可以為任意字符串的。

配置過后就可以用req.session來訪問session對象了，將我們的一些數(shù)據(jù)用sessin存儲起來，然后登陸成功又可以通過session取出來，當(dāng)我們退出登錄還可以。destroy方法清空session，注意只是清空這個賬戶信息，不會清空別人的信息，具體代碼如下：

注意看todo也就是我們要做的

// 導(dǎo)入 express 模塊
const express = require('express')
// 創(chuàng)建 express 的服務(wù)器實(shí)例
const app = express()

// TODO_01：請配置 Session 中間件
const session = require('express-session')
app.use(session({
  secret : 'mySession',
  resave : 'false',
  saveUninitiallized: 'ture'
}))

// 托管靜態(tài)頁面
app.use(express.static('./pages'))
// 解析 POST 提交過來的表單數(shù)據(jù)
app.use(express.urlencoded({ extended: false }))

// 登錄的 API 接口
app.post('/api/login', (req, res) => {
  // 判斷用戶提交的登錄信息是否正確
  if (req.body.username !== 'admin' || req.body.password !== '000000') {
    return res.send({ status: 1, msg: '登錄失敗' })
  }

  // TODO_02：請將登錄成功后的用戶信息，保存到 Session 中
  // 注意只有當(dāng)上面配置了session之后才能夠使用req.session這個對象
  req.session.user = req.body // 用戶信息
  req.session.islogin = true // 用戶的登錄狀態(tài)


  res.send({ status: 0, msg: '登錄成功' })
})

// 獲取用戶姓名的接口
app.get('/api/username', (req, res) => {
  // TODO_03：請從 Session 中獲取用戶的名稱，響應(yīng)給客戶端
  // 判斷是否登錄成功
  if(!req.session.islogin) {
    return res.send({status:1, msg:'fail'})
  }
  // 登錄成功即可響應(yīng)數(shù)據(jù)
  return res.send({
    status : 0,
    msg : 'success',
    username : [req.session.user.username]
  })
})

// 退出登錄的接口
app.post('/api/logout', (req, res) => {
  // TODO_04：清空 Session 信息
  req.session.destroy()
  res.send({
    status : 0,
    msg : '退出登錄成功'
  })
})

// 調(diào)用 app.listen 方法，指定端口號并啟動web服務(wù)器
app.listen(80, function () {
  console.log('Express server running at http://127.0.0.1:80')
})

4.這就是session，然后我們看到下一個認(rèn)證機(jī)制jwt，session需要cookie才能夠?qū)崿F(xiàn)是吧，但我們的cookie有一個致命問題，不支持跨域，如果涉及到跨域需要配置很大一堆步驟。

JWT目前最流行跨域認(rèn)證解決方案。

實(shí)現(xiàn)原理：首先還是客戶端發(fā)起一個請求頭發(fā)送賬號密碼，服務(wù)器驗(yàn)證，驗(yàn)證成功后會經(jīng)過加密生辰一個token字符串然后會給你返回一個token字符串，我們拿到這個token字符串會將其存儲在localstorage或者sessionStorage中，當(dāng)我們再次請求就會通過一個authorization的請求頭將token發(fā)送給服務(wù)器，服務(wù)器拿到token就會將他還原成用戶的信息對象，然后身份也就認(rèn)證成功了。

JWT的組成部分是有三部分組成：header。patyload。signature，這個。只是分割作用，我們的真正信息重在中間的payload前后兩個只是保證token的安全性。

怎么在express中來使用我們的token？

需要安裝兩個包，還需要定義密匙是自己自定義的

第四步生成JWT字符串的時候在sign這個方法里面，這個配置有效期是token在規(guī)定期限之內(nèi)能夠拿來驗(yàn)證的期限；

第五步將jwt轉(zhuǎn)換為json這個語句當(dāng)中，unless這個語句的意思是不需要身份驗(yàn)證的接口

配置完第五步轉(zhuǎn)換為json文件后我們就可以用req.user來獲取信息了，而這個信息就是我們第四步把什么轉(zhuǎn)換為jwt字符串的信息，

最后當(dāng)我們的token過期或者不合法就會出現(xiàn)錯誤，這個時候要需要一個錯誤中間件

// 導(dǎo)入 express 模塊
const express = require('express')
// 創(chuàng)建 express 的服務(wù)器實(shí)例
const app = express()

// TODO_01：安裝并導(dǎo)入 JWT 相關(guān)的兩個包，分別是 jsonwebtoken 和 express-jwt
const jwt = require('jsonwebtoken')
const expressJwt = require('express-jwt')
// 允許跨域資源共享
const cors = require('cors')
app.use(cors())

// 解析 post 表單數(shù)據(jù)的中間件
const bodyParser = require('body-parser')
const { UnauthorizedError } = require('express-jwt')
const { response } = require('express')
app.use(bodyParser.urlencoded({ extended: false }))

// TODO_02：定義 secret 密鑰，建議將密鑰命名為 secretKey
const secretKey = 'hard hard study day day up'
// TODO_04：注冊將 JWT 字符串解析還原成 JSON 對象的中間件
app.use(expressJwt({secret : secretKey, algorithms : ['HS256']}).unless({path : [/^\/api\//]}))
// 登錄接口
app.post('/api/login', function (req, res) {
  // 將 req.body 請求體中的數(shù)據(jù)，轉(zhuǎn)存為 userinfo 常量
  const userinfo = req.body
  // 登錄失敗
  if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
    return res.send({
      status: 400,
      message: '登錄失敗！'
    })
  }
  // 登錄成功
  // TODO_03：在登錄成功之后，調(diào)用 jwt.sign() 方法生成 JWT 字符串。并通過 token 屬性發(fā)送給客戶端
  // 轉(zhuǎn)化成token加密文件
  const tokenStr = jwt.sign({username : userinfo.username, algorithms : ['HS256']}, secretKey, {expiresIn : '1h'})
  res.send({
    status: 200,
    message: '登錄成功！',
    token: tokenStr // 要發(fā)送給客戶端的 token 字符串
  })
})

// 這是一個有權(quán)限的 API 接口
app.get('/admin/getinfo', function (req, res) {
  // TODO_05：使用 req.user 獲取用戶信息，并使用 data 屬性將用戶信息發(fā)送給客戶端
  
  res.send({
    status: 200,
    message: '獲取用戶信息成功！',
    data: {username : req.user} // 要發(fā)送給客戶端的用戶信息
  })
})

// TODO_06：使用全局錯誤處理中間件，捕獲解析 JWT 失敗后產(chǎn)生的錯誤
app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    // 這次錯誤是由token解析失敗導(dǎo)致的
    return res.send({status : 401, msg : '無效的token'})
  }else {
    // 其他錯誤
    return res.send({status: 500, msg : '未知的錯誤'})
  }
})
// 調(diào)用 app.listen 方法，指定端口號并啟動web服務(wù)器
app.listen(8888, function () {
  console.log('Express server running at http://127.0.0.1:8888')
})

然后后面會有兩個項(xiàng)目，會把之前所學(xué)的node綜合起來，我到時候單獨(dú)開個博來說一下吧，還是有一些注意事項(xiàng)的

到此這篇關(guān)于 node.js實(shí)現(xiàn)身份認(rèn)證的示例代碼的文章就介紹到這了,更多相關(guān) node.js 身份認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: