Node.js?express中的身份認證的實現(xiàn)

更新時間：2023年01月12日 08:24:56 作者：亦世凡華、

本文主要介紹了Node.js?express中的身份認證的實現(xiàn)，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

Web開發(fā)模式

目前主流的Web開發(fā)模式有兩種：

基于服務端渲染的傳統(tǒng)Web開發(fā)模式

服務端渲染的概念：服務器發(fā)送給客戶端的HTML頁面，是在服務器通過字符串的拼接，動態(tài)生成的。因此，客戶端不需要使用Ajax這樣的技術(shù)額外請求頁面的數(shù)據(jù)。代碼如下:

app.get('/index.html',(req,res)=>{
  // 1.要渲染的數(shù)據(jù)
  const user = {name:'zs',age:20}
  // 2.服務器通過字符串的拼接，動態(tài)生成 HTML 內(nèi)容
  const html = `<h1>姓名：${user.name}，年齡：${user.age}</h1>`
  // 3.把生成好的頁面內(nèi)容響應給客戶端。因此客戶端拿到的是帶有真實數(shù)據(jù)的 HTML 頁面
  res.send(html)
})

服務端渲染的優(yōu)缺點

優(yōu)點：

1）前端耗時少：因為服務器端負責動態(tài)生成 HTML內(nèi)容，瀏覽器只需要直接渲染頁面即可。尤其是移動端，更省電。

2）有利于SEO：因為服務器端響應的是完整的 HTML頁面內(nèi)容，所以爬蟲更容易爬取獲得信息，更有利于SEO。

缺點：

1）占用服務器端資源：即服務器端完成HTML頁面內(nèi)容的拼接，如果請求較多，會對服務器造成一定的訪問壓力。

2）不利于前后端分離，開發(fā)效率低：使用服務器端渲染，則無法進行分工合作，尤其對于前端復雜度高的項目，不利于項目高效開發(fā)。

基于前后端分離的新型Web開發(fā)模式

前后端分離的概念：前后端分離的開發(fā)模式，依賴于Ajax技術(shù)的廣泛應用。簡而言之，前后端分離的Web開發(fā)模式，就是后端只負責提供API接口，前端使用Ajax調(diào)用接口的開發(fā)模式。

前后端分離的優(yōu)缺點

優(yōu)點：

1）開發(fā)體驗好。前端專注于UI頁面的開發(fā)，后端專注于api的開發(fā)，且前端有更多的選擇性

2）用戶體驗好。Ajax技術(shù)的廣泛應用，極大的提高了用戶的體驗，可以輕松實現(xiàn)頁面的局部刷新

3）減輕了服務器端的渲染壓力。因為頁面最終是在每個用戶的瀏覽器中生成的。

缺點：

1）不利于SE0。因為完整的HTML頁面需要在客戶端動態(tài)拼接完成，所以爬蟲對無法爬取頁面的有效信息。(解決方案：利用Vue、React等前端框架的SSR (server side render)技術(shù)能夠很好的解決SEO問題!)

如何選擇Web開發(fā)模式

比如企業(yè)級網(wǎng)站，主要功能是展示而沒有復雜的交互，并且需要良好的SEO，則這時我們就需要使用服務器端渲染；而類似后臺管理項目，交互性比較強，不需要考慮SEO，那么就可以使用前后端分離的開發(fā)模式。

因此，具體使用何種開發(fā)模式并不是絕對的，為了同時兼顧了首頁的渲染速度和前后端分離的開發(fā)效率，一些網(wǎng)站采用了首屏服務器端渲染＋其他頁面前后端分離的開發(fā)模式。

身份認證

身份認證(Authentication)又稱“身份驗證”、“鑒權(quán)”，是指通過一定的手段，完成對用戶身份的確認。在Web開發(fā)中，也涉及到用戶身份的認證，例如:各大網(wǎng)站的手機驗證碼登錄、郵箱密碼登錄、二維碼登錄等。

身份認證的目的：為了確認當前所聲稱為某種身份的用戶，確實是所聲稱的用戶。

不同開發(fā)模式下的身份認證

對于服務端渲染和前后端分離這兩種開發(fā)模式來說，分別有著不同的身份認證方案：

1）服務端渲染推薦使用 Session 認證機制

2）前后端分離推薦使用 JWT 認證機制

Session認證機制

HTTP協(xié)議的無狀態(tài)性：指的是客戶端的每次HTTP請求都是獨立的，連續(xù)多個請求之間沒有直接的關(guān)系，服務器不會主動保留每次HTTP請求的狀態(tài)。而要想突破HTTP的無狀態(tài)的限制，就需要借助Cookie。

Cookie是存儲在用戶瀏覽器中的一段不超過4KB的字符串。它由一個名稱(Name)、一個值(Value)和其它幾個用于控制Cookie有效期、安全性、使用范圍的可選屬性組成。不同域名下的Cookie 各自獨立，每當客戶端發(fā)起請求時，會自動把當前域名下所有未過期的Cookie一同發(fā)送到服務器。

Cookie的特性：自動發(fā)送、域名獨立、過期時限、4KB限制。

Cookie在身份認證中的作用

客戶端第一次請求服務器的時候，服務器通過響應頭的形式，向客戶端發(fā)送一個身份認證的Cookie，客戶端會自動將Cookie保存在瀏覽器中。隨后，當客戶端瀏覽器每次請求服務器的時候，瀏覽器會自動將身份認證相關(guān)的Cookie，通過請求頭的形式發(fā)送給服務器，服務器即可驗明客戶端的身份。

Cookie的安全性問題

由于Cookie是存儲在瀏覽器中的，而且瀏覽器提供了讀寫Cookie的API，因此Cookie很容易被偽造，不具有安全性。因此不建議服務器將重要的隱私數(shù)據(jù)，通過Cookie的形式發(fā)送給瀏覽器，所以千萬不要使用Cookie存儲重要且隱私的數(shù)據(jù)，比如用戶的身份信息、密碼等。

而Session的認證機制就是為了提高cookie安全性的一種認證機制。

Session的工作原理

在Express中使用Session認證

在Express項目中，只需安裝 express-session 中間件，即可在項目中使用Session認證：

npm install express-session

express-session中間件安裝完成后，需要通過app.use()來注冊session中間件，代碼如下：

// 配置 Session 中間件
const session = require('express-session')
app.use(session({
  secret:'Session_test', // secret 屬性值可以是任意字符串
  resave:false, // 固定寫法
  saveUninitialized:true // 固定寫法
}))

當express-session中間件配置成功后，即可通過 req.session 來訪問和使用 session 對象，從而存儲用戶的關(guān)鍵信息：

// 登錄的API接口
app.post('/api/login',(req,res)=>{
  // 判斷用戶提交的信息是否正確
  if(req.body.username !=='admin' || req.body.password !=='123456'){
    return res.send({status:1,msg:'登錄失敗'})
  }
  // 登錄成功后，將成功的用戶信息保存到session中
  // 注意：只有成功配置了 express-session 這個中間件后，才能通過 req 點出來 session 這個屬性
  req.session.user = req.body // 用戶的信息
  req.session.islogin = true // 用戶的登錄狀態(tài)
  res.send({status:0,msg:'登錄成功'})
})

當然也可以直接從 req.session 對象上獲取之前存儲的數(shù)據(jù)。代碼如下：

app.post('/api/logout',(req,res)=>{
  // 清空session信息
  req.session.destroy()
  res.send({
    status:0,
    msg:'退出登錄成功'
  })
})

Session認證的局限性：Session認證機制需要配合Cookie 才能實現(xiàn)。由于Cookie默認不支持跨域訪問，所以，當涉及到前端跨域請求后端接口的時候，需要做很多額外的配置，才能實現(xiàn)跨域Session認證。

當前端請求后端接口不存在跨域問題的時候，推薦使用Session身份認證機制。

JWT認證機制

JWT(英文全稱:JSON Web Token)是目前最流行的跨域認證解決方案。當前端需要跨域請求后端接口的時候，不推薦使用Session身份認證機制，推薦使用JWT認證機制。

JWT工作原理：用戶的信息通過Token字符串的形式，保存在客戶端瀏覽器中。服務器通過還原Token字符串的形式來認證用戶的身份。

JWT的組成部分：

Header(頭部)、Payload(有效荷載)、Signature(簽名)。

Payload部分才是真正的用戶信息，它是用戶信息經(jīng)過加密之后生成的字符串。

Header和Signature是安全性相關(guān)的部分，只是為了保證Token的安全性。

三者之間使用英文的“.”分隔，格式如下:

Header.Payload.Signature

JWT的使用方式：客戶端收到服務器返回的WT之后，通常會將它儲存在localStorage或sessionStorage中。此后，客戶端每次與服務器通信，都要帶上這個WT的字符串，從而進行身份認證。推薦的做法是把JWT放在HTTP請求頭的Authorization字段中，格式如下:

Authorization: Bearer <token>

在Express中使用JWT

運行如下命令安裝兩個JWT相關(guān)的包：

# jsonwebtoken用于生成JWT字符串
# express-jwt用于將JWT字符串解析還原成JSON對象
npm install jsonwebtoken express-jwt@5.3.3

定義secret密鑰：為了保證JWT字符串的安全性，防止JWT字符串在網(wǎng)絡傳輸過程中被別人破解，我們需要專門定義一個用于加密和解密的secret密鑰。

當生成JWT字符串的時候，需要使用 secret 密鑰對用戶的信息進行加密，最終得到加密好的JWT字符串；當把JWT字符串解析還原成JSON對象的時候，需要使用secret密鑰進行解密。

// 定義 secret 密鑰，建議將密鑰命名為 secretKey
const secretKey = 'Hello Node.js'

生成JWT字符串：調(diào)用jsonwebtoken包提供的sign()方法，將用戶的信息加密成JWT字符串，響應給客戶端。

// 登錄接口
app.post('/api/login',(req,res)=>{
  // 將 req.body 請求體中的數(shù)據(jù)，轉(zhuǎn)存為 userinfo 常量
  const userinfo = req.body
  // 登錄失敗
  if(userinfo.username !=='admin' || userinfo.password !=='123456'){
    return res.send({
      status:400,
      message:'登錄失??！'
    })
  }
  // 三個參數(shù)分別是：用戶信息對象，加密密鑰，配置對象
  const tokenStr = jwt.sign({username: userinfo.username},secretKey,{expiresIn:'20s'})
  // 用戶登錄成功后，生成 JWT 字符串，通過 token 屬性響應給客戶端
  res.send({
    status:200,
    message:'登錄成功',
    token: tokenStr, // 要發(fā)送給客戶端的 token 字符串 
  })
})

JWT字符串還原為JSON對象：客戶端每次在訪問那些有權(quán)限接口的時候，都需要主動通過請求頭中的Authorization字段將Token字符串發(fā)送到服務器進行身份認證。此時，服務器可以通過express-jwt這個中間件，自動將客戶端發(fā)送過來的Token解析還原成JSON對象。

// 注冊將 JWT 字符串解析還原成 JSON 對象的中間件
// expiresJWT({secret:secretKey}) 用來解析 Token 的中間件
// .unless({path:[/^\/api\//]}) 用來指定哪些接口不需要訪問權(quán)限
app.use(expressJWT({secret:secretKey}).unless({path:[/^\/api\//]}))

使用req.user獲取用戶信息：當express-jwt這個中間件配置成功之后，即可在那些有權(quán)限的接口中，使用req.user對象，來訪問從WT字符串中解析出來的用戶信息了，示例代碼如下：

app.get('/admin/getinfo',function(req,res){
  // 使用 req.user 獲取用戶信息，并使用data屬性將用戶信息發(fā)送給客戶端
  console.log(req.user);
  res.send({
    status:200,
    message:'獲取用戶信息成功',
    data:req.user, // 要發(fā)送給客戶端的用戶信息
  })
})

捕獲解析JWT失敗后產(chǎn)生的錯誤：當使用express-jwt解析Token字符串時，如果客戶端發(fā)送過來的Token字符串過期或不合法，會產(chǎn)生一個解析失敗的錯誤，影響項目的正常運行。我們可以通過 Express的錯誤中間件，捕獲這個錯誤并進行相關(guān)的處理，示例代碼如下:

// 使用全局錯誤處理中間件，捕獲解析 JWT 失敗后產(chǎn)生的錯誤
app.use((err, req, res, next) => {
  // 這次錯誤是由 token 解析失敗導致的
  if (err.name === 'UnauthorizedError') {
    return res.send({
      status: 401,
      message: '無效的token',
    })
  }
  res.send({
    status: 500,
    message: '未知的錯誤',
  })
})

具體詳細代碼如下：

// 導入 express 模塊
const express = require('express')
// 創(chuàng)建服務器
const app = express()
 
// 導入JWT相關(guān)的兩個包
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')
 
// 允許跨域資源共享
const cors = require('cors')
app.use(cors())
 
// 解析 post 表單數(shù)據(jù)的中間件
const bodyParser = require('body-parser')
app.use(bodyParser.urlencoded({ extended: false }))
 
// 定義 secret 密鑰，建議將密鑰命名為 secretKey
const secretKey = 'Hello Node.js'
 
// 注冊將 JWT 字符串解析還原成 JSON 對象的中間件
// expiresJWT({secret:secretKey}) 用來解析 Token 的中間件
// .unless({path:[/^\/api\//]}) 用來指定哪些接口不需要訪問權(quán)限
app.use(expressJWT({secret:secretKey}).unless({path:[/^\/api\//]}))
 
// 登錄接口
app.post('/api/login',(req,res)=>{
  // 將 req.body 請求體中的數(shù)據(jù)，轉(zhuǎn)存為 userinfo 常量
  const userinfo = req.body
  // 登錄失敗
  if(userinfo.username !=='admin' || userinfo.password !=='123456'){
    return res.send({
      status:400,
      message:'登錄失?。?
    })
  }
  // 三個參數(shù)分別是：用戶信息對象，加密密鑰，配置對象
  const tokenStr = jwt.sign({username: userinfo.username},secretKey,{expiresIn:'50s'})
  // 用戶登錄成功后，生成 JWT 字符串，通過 token 屬性響應給客戶端
  res.send({
    status:200,
    message:'登錄成功',
    token: tokenStr, // 要發(fā)送給客戶端的 token 字符串 
  })
})
 
// 這是一個有權(quán)限的API接口
app.get('/admin/getinfo',function(req,res){
  // 使用 req.user 獲取用戶信息，并使用data屬性將用戶信息發(fā)送給客戶端
  console.log(req.user);
  res.send({
    status:200,
    message:'獲取用戶信息成功',
    data:req.user, // 要發(fā)送給客戶端的用戶信息
  })
})
 
// 使用全局錯誤處理中間件，捕獲解析 JWT 失敗后產(chǎn)生的錯誤
app.use((err, req, res, next) => {
  // 這次錯誤是由 token 解析失敗導致的
  if (err.name === 'UnauthorizedError') {
    return res.send({
      status: 401,
      message: '無效的token',
    })
  }
  res.send({
    status: 500,
    message: '未知的錯誤',
  })
})
 
// 調(diào)用app.listen 方法,指定端口號并啟動web服務器
app.listen(80,function(){
  console.log('Express server running at http://127.0.0.1:80');
})

到此這篇關(guān)于Node.js express中的身份認證的實現(xiàn)的文章就介紹到這了,更多相關(guān)Node.js express 身份認證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: