快捷導(dǎo)航

node.js實(shí)現(xiàn)身份認(rèn)證的示例代碼

更新時(shí)間：2022年04月17日 10:28:21 作者：Heymar-10

本文主要介紹了 node.js實(shí)現(xiàn)身份認(rèn)證的示例代碼，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

請(qǐng)問(wèn)昨天結(jié)束的早是對(duì)堆積在了今天嗎，今天還來(lái)加個(gè)班更博，看在這個(gè)毅力的份上能否給億點(diǎn)點(diǎn)推薦。

有個(gè)好消息有個(gè)壞消息，先說(shuō)壞消息吧，就是在這么學(xué)下去我急需急支糖漿，來(lái)回顧回顧前面的知識(shí)，這幾天學(xué)的太急了，搞得有點(diǎn)推著走的意思，好消息就是今天的內(nèi)容是最后最后node的基礎(chǔ)內(nèi)容了，果然天不負(fù)我，整完然后有兩個(gè)大案例，做完我就從上次復(fù)習(xí)那里開(kāi)始一直復(fù)習(xí)過(guò)來(lái)，然后全部不欠賬，就昂首挺胸的走進(jìn)vue了，等等，這個(gè)學(xué)完可以進(jìn)去了吧。

1.今天的第一個(gè)內(nèi)容說(shuō)一下web開(kāi)發(fā)模式，今天基本就是講一個(gè)身份認(rèn)證的內(nèi)容，我們的web開(kāi)發(fā)模式呢分為兩種，一種是服務(wù)器渲染模式，就是通過(guò)服務(wù)器進(jìn)行一個(gè)字符串拼接，將html頁(yè)面拼接出來(lái)，然后直接返回給客戶端，這樣一來(lái)就不需要我們的ajax了，直接給客戶端就可以了，他的優(yōu)點(diǎn)呢就是前端耗時(shí)少，畢竟都給服務(wù)器做了還有前端什么事，還有他也有利于seo優(yōu)化，他的缺點(diǎn)就是占用服務(wù)器資源，而且不利于前后端分離開(kāi)發(fā)效率低。

第二個(gè)模式：前后端分離的模式，它是依賴于ajax的一個(gè)廣泛應(yīng)用，后端負(fù)責(zé)編寫(xiě)api接口，前端就負(fù)責(zé)調(diào)用接口就完事了。他的一個(gè)優(yōu)點(diǎn)就是開(kāi)發(fā)體驗(yàn)好、畢竟前后端分離，用戶體驗(yàn)也好，也減輕了服務(wù)器的壓力。

但是缺點(diǎn)就是不利于seo的優(yōu)化。

2.然后我們進(jìn)入身份認(rèn)證、

什么事身份認(rèn)證？

通過(guò)一定的手段對(duì)用戶身份進(jìn)行確認(rèn)的方式。

服務(wù)器渲染開(kāi)發(fā)用的就是session認(rèn)證，而我們的前后端分離用的就是jwt認(rèn)證，兩者都各有各的優(yōu)點(diǎn)誰(shuí)也不讓誰(shuí)。

3.先來(lái)說(shuō)下session吧

首先了解一下http無(wú)狀態(tài)性，就是指客戶端每次的http請(qǐng)求都是獨(dú)立的，連續(xù)多個(gè)請(qǐng)求間沒(méi)有直接關(guān)系，服務(wù)器也不會(huì)主動(dòng)保留每次http請(qǐng)求狀態(tài)（就像收銀員他能記住每個(gè)來(lái)的客戶是會(huì)員嗎？）

突破無(wú)狀態(tài)限制。

超市突破這種限制的方式就是給每個(gè)會(huì)員發(fā)會(huì)員卡是吧，在我們web領(lǐng)域這種方式就是cookie。

cookie，是存儲(chǔ)在用戶瀏覽器一段不超過(guò)4kb的字符串，它是由name、value以及有效期。安全性，適用范圍的可選屬性組成，在不同的域名下，我們的cookie是各自獨(dú)立的，每當(dāng)客戶端發(fā)起請(qǐng)求，會(huì)自動(dòng)把當(dāng)前域名下的所有cookie發(fā)給服務(wù)器，注意只是當(dāng)前域名下。

他的特性就是：自動(dòng)發(fā)送、域名獨(dú)立、過(guò)期時(shí)限、4kb限制

3.1cookie在身份認(rèn)證中的作用

當(dāng)我們客戶端第一次請(qǐng)求服務(wù)器的時(shí)候，服務(wù)器會(huì)通過(guò)響應(yīng)頭向客戶端發(fā)送一個(gè)身份認(rèn)證的cookie，我們的瀏覽器就會(huì)把這個(gè)cookie存儲(chǔ)起來(lái)，當(dāng)我們下一次請(qǐng)求的時(shí)候，就會(huì)直接發(fā)送這個(gè)cookie也就是前面說(shuō)的會(huì)自動(dòng)發(fā)送，即可證明身份。

要注意我們的cookie是不具有安全性的，瀏覽器還提供了讀寫(xiě)cookie的api，所以cookie很容易被偽造，就像我們的會(huì)員卡也有偽造的一樣。所以不要用cookie存儲(chǔ)重要數(shù)據(jù)，包括我們jwt也不能存后面會(huì)說(shuō)到。

3.2那么有沒(méi)有方法來(lái)提高我們cookie的安全性呢？

那就是session認(rèn)證，就好比我們的會(huì)員卡?刷卡的機(jī)制就能破除偽造卡了。

session認(rèn)證機(jī)制：

首先我們的客戶端登錄賬號(hào)密碼發(fā)送了登錄請(qǐng)求，服務(wù)器會(huì)開(kāi)始驗(yàn)證，當(dāng)驗(yàn)證成功后，會(huì)將其存儲(chǔ)在服務(wù)器的內(nèi)存中，同時(shí)通過(guò)響應(yīng)頭返回一個(gè)對(duì)應(yīng)的cookie字符串，我們的瀏覽器就會(huì)把這個(gè)字符串保存在當(dāng)前域名下，當(dāng)我們?cè)俅握?qǐng)求的時(shí)候，就會(huì)把域名下所有cookie一起發(fā)送服務(wù)器，服務(wù)器就會(huì)去找對(duì)只對(duì)應(yīng)的cookie匹配成功就能找到你信息了，然后就認(rèn)證成功了

3.3說(shuō)了這么多怎么來(lái)再服務(wù)器端使用我們的sesson，首先安裝導(dǎo)入兩部曲然后還需要配置，注意配置是固定寫(xiě)法，secret是可以為任意字符串的。

配置過(guò)后就可以用req.session來(lái)訪問(wèn)session對(duì)象了，將我們的一些數(shù)據(jù)用sessin存儲(chǔ)起來(lái)，然后登陸成功又可以通過(guò)session取出來(lái)，當(dāng)我們退出登錄還可以。destroy方法清空session，注意只是清空這個(gè)賬戶信息，不會(huì)清空別人的信息，具體代碼如下：

注意看todo也就是我們要做的

// 導(dǎo)入 express 模塊
const express = require('express')
// 創(chuàng)建 express 的服務(wù)器實(shí)例
const app = express()

// TODO_01：請(qǐng)配置 Session 中間件
const session = require('express-session')
app.use(session({
  secret : 'mySession',
  resave : 'false',
  saveUninitiallized: 'ture'
}))

// 托管靜態(tài)頁(yè)面
app.use(express.static('./pages'))
// 解析 POST 提交過(guò)來(lái)的表單數(shù)據(jù)
app.use(express.urlencoded({ extended: false }))

// 登錄的 API 接口
app.post('/api/login', (req, res) => {
  // 判斷用戶提交的登錄信息是否正確
  if (req.body.username !== 'admin' || req.body.password !== '000000') {
    return res.send({ status: 1, msg: '登錄失敗' })
  }

  // TODO_02：請(qǐng)將登錄成功后的用戶信息，保存到 Session 中
  // 注意只有當(dāng)上面配置了session之后才能夠使用req.session這個(gè)對(duì)象
  req.session.user = req.body // 用戶信息
  req.session.islogin = true // 用戶的登錄狀態(tài)


  res.send({ status: 0, msg: '登錄成功' })
})

// 獲取用戶姓名的接口
app.get('/api/username', (req, res) => {
  // TODO_03：請(qǐng)從 Session 中獲取用戶的名稱，響應(yīng)給客戶端
  // 判斷是否登錄成功
  if(!req.session.islogin) {
    return res.send({status:1, msg:'fail'})
  }
  // 登錄成功即可響應(yīng)數(shù)據(jù)
  return res.send({
    status : 0,
    msg : 'success',
    username : [req.session.user.username]
  })
})

// 退出登錄的接口
app.post('/api/logout', (req, res) => {
  // TODO_04：清空 Session 信息
  req.session.destroy()
  res.send({
    status : 0,
    msg : '退出登錄成功'
  })
})

// 調(diào)用 app.listen 方法，指定端口號(hào)并啟動(dòng)web服務(wù)器
app.listen(80, function () {
  console.log('Express server running at http://127.0.0.1:80')
})

4.這就是session，然后我們看到下一個(gè)認(rèn)證機(jī)制jwt，session需要cookie才能夠?qū)崿F(xiàn)是吧，但我們的cookie有一個(gè)致命問(wèn)題，不支持跨域，如果涉及到跨域需要配置很大一堆步驟。

JWT目前最流行跨域認(rèn)證解決方案。

實(shí)現(xiàn)原理：首先還是客戶端發(fā)起一個(gè)請(qǐng)求頭發(fā)送賬號(hào)密碼，服務(wù)器驗(yàn)證，驗(yàn)證成功后會(huì)經(jīng)過(guò)加密生辰一個(gè)token字符串然后會(huì)給你返回一個(gè)token字符串，我們拿到這個(gè)token字符串會(huì)將其存儲(chǔ)在localstorage或者sessionStorage中，當(dāng)我們?cè)俅握?qǐng)求就會(huì)通過(guò)一個(gè)authorization的請(qǐng)求頭將token發(fā)送給服務(wù)器，服務(wù)器拿到token就會(huì)將他還原成用戶的信息對(duì)象，然后身份也就認(rèn)證成功了。

JWT的組成部分是有三部分組成：header。patyload。signature，這個(gè)。只是分割作用，我們的真正信息重在中間的payload前后兩個(gè)只是保證token的安全性。

怎么在express中來(lái)使用我們的token？

需要安裝兩個(gè)包，還需要定義密匙是自己自定義的

第四步生成JWT字符串的時(shí)候在sign這個(gè)方法里面，這個(gè)配置有效期是token在規(guī)定期限之內(nèi)能夠拿來(lái)驗(yàn)證的期限；

第五步將jwt轉(zhuǎn)換為json這個(gè)語(yǔ)句當(dāng)中，unless這個(gè)語(yǔ)句的意思是不需要身份驗(yàn)證的接口

配置完第五步轉(zhuǎn)換為json文件后我們就可以用req.user來(lái)獲取信息了，而這個(gè)信息就是我們第四步把什么轉(zhuǎn)換為jwt字符串的信息，

最后當(dāng)我們的token過(guò)期或者不合法就會(huì)出現(xiàn)錯(cuò)誤，這個(gè)時(shí)候要需要一個(gè)錯(cuò)誤中間件

// 導(dǎo)入 express 模塊
const express = require('express')
// 創(chuàng)建 express 的服務(wù)器實(shí)例
const app = express()

// TODO_01：安裝并導(dǎo)入 JWT 相關(guān)的兩個(gè)包，分別是 jsonwebtoken 和 express-jwt
const jwt = require('jsonwebtoken')
const expressJwt = require('express-jwt')
// 允許跨域資源共享
const cors = require('cors')
app.use(cors())

// 解析 post 表單數(shù)據(jù)的中間件
const bodyParser = require('body-parser')
const { UnauthorizedError } = require('express-jwt')
const { response } = require('express')
app.use(bodyParser.urlencoded({ extended: false }))

// TODO_02：定義 secret 密鑰，建議將密鑰命名為 secretKey
const secretKey = 'hard hard study day day up'
// TODO_04：注冊(cè)將 JWT 字符串解析還原成 JSON 對(duì)象的中間件
app.use(expressJwt({secret : secretKey, algorithms : ['HS256']}).unless({path : [/^\/api\//]}))
// 登錄接口
app.post('/api/login', function (req, res) {
  // 將 req.body 請(qǐng)求體中的數(shù)據(jù)，轉(zhuǎn)存為 userinfo 常量
  const userinfo = req.body
  // 登錄失敗
  if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
    return res.send({
      status: 400,
      message: '登錄失??！'
    })
  }
  // 登錄成功
  // TODO_03：在登錄成功之后，調(diào)用 jwt.sign() 方法生成 JWT 字符串。并通過(guò) token 屬性發(fā)送給客戶端
  // 轉(zhuǎn)化成token加密文件
  const tokenStr = jwt.sign({username : userinfo.username, algorithms : ['HS256']}, secretKey, {expiresIn : '1h'})
  res.send({
    status: 200,
    message: '登錄成功！',
    token: tokenStr // 要發(fā)送給客戶端的 token 字符串
  })
})

// 這是一個(gè)有權(quán)限的 API 接口
app.get('/admin/getinfo', function (req, res) {
  // TODO_05：使用 req.user 獲取用戶信息，并使用 data 屬性將用戶信息發(fā)送給客戶端
  
  res.send({
    status: 200,
    message: '獲取用戶信息成功！',
    data: {username : req.user} // 要發(fā)送給客戶端的用戶信息
  })
})

// TODO_06：使用全局錯(cuò)誤處理中間件，捕獲解析 JWT 失敗后產(chǎn)生的錯(cuò)誤
app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    // 這次錯(cuò)誤是由token解析失敗導(dǎo)致的
    return res.send({status : 401, msg : '無(wú)效的token'})
  }else {
    // 其他錯(cuò)誤
    return res.send({status: 500, msg : '未知的錯(cuò)誤'})
  }
})
// 調(diào)用 app.listen 方法，指定端口號(hào)并啟動(dòng)web服務(wù)器
app.listen(8888, function () {
  console.log('Express server running at http://127.0.0.1:8888')
})

然后后面會(huì)有兩個(gè)項(xiàng)目，會(huì)把之前所學(xué)的node綜合起來(lái)，我到時(shí)候單獨(dú)開(kāi)個(gè)博來(lái)說(shuō)一下吧，還是有一些注意事項(xiàng)的

到此這篇關(guān)于 node.js實(shí)現(xiàn)身份認(rèn)證的示例代碼的文章就介紹到這了,更多相關(guān) node.js 身份認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: