用户认证:jwt和session的Nodejs实现

一，jwt实现

1，jwt认证特点

toenk是保存在前端，安全性低无法撤销，内容过长时每次请求传输浪费资源。

JWT的最佳用途是一次性授权Token：

有效期短

只希望被使用一次

如：注册后发一封邮件让其激活账户，邮件中的链接

2，jwt认证流程

登录请求通过

服务端生成token返回到前端

前端将token保存到localStorage或cookie

后面的http请求把token放到headers

服务端验证token是否有效

3，nodejs中的实现

生成token，在登录成功后调用:createToken.js

var jwt = require('jsonwebtoken')
module.exports = function (name){
    const token = jwt.sign({
        name:name
    },process.env.JWT_SECRET,60*5)
    return token;
  }

校验token，需要校验的接口前调用:checkToken.js

// 验证token中间件
var jwt = require('jsonwebtoken')
module.exports = function (req, res, next) {
  const token = req.headers['authorization']
  if (token) {
    // 检验token信息是否过期
    jwt.verify(token, process.env.JWT_SECRET, function(err, decoded) {      
      if (err) {
        return res.status(403).json({ code: 'error', error: 'token失效' })    
      } else {
        req.tokenInfo= decoded    
        next()
      }
    })
  }else{
    return res.status(403).json({code: 'error', error: '没有权限'})
  }
}

调用checkToken

var express = require('express');
var checkToekn = require('../middleware/checkToken');
var router = express.Router();
router.get('/admin',checkToekn,function (req,res,next){
  res.send({
    type:true,
    name:'dailu'
  });
});
module.exports = router

二，session实现

1，session认证特点

sessionid保存在前端，session对象保存在后端数据库（可保存在内存，但不建议）。

2，session认证流程

登录请求通过

服务端创建一个session，然后将其存储在数据库中

服务器为用户生成一个sessionId，并写到Cookie

后续前端请求会自动带上sessionId

服务端验证sessionId是否有效

3，nodejs中的实现

我这里使用mongodb来存储，用connect-mongodb-session来搞定

...
var session = require('express-session')
var MongoDBStore = require('connect-mongodb-session')(session);
var app = express();
...
var store = new MongoDBStore({
    uri: 'mongodb://localhost/test',
    collection: 'mySessions'
  },
  function(error){
      if(error){
        console.log('MongoDBStore',error)
      }
  });
store.on('error', function(error) {
  console.log('store',error)
});
  app.use(session({
    secret: 'abc',
    cookie: {
      maxAge: 1000 * 60 * 60 * 24 * 7 // 1 week
    },
    store: store,
    resave: true,
    saveUninitialized: true
  }));
  app.use(function (req, res, next) {
    let url = req.originalUrl.split('?')[0];
    console.log(url,req.session.username);
    if (url !== '/user/login' && url !== '/user/register' && !req.session.username) {
        const resData={
            head: {
                code: '44444444',
                msg: '请先登录'
            },
            body: null
        }
        res.end(JSON.stringify(resData));
        return
    }
    next();
  })
routes(app);
module.exports = app;

4，个人觉得大多情况用session好一些，无需前端配合，实现也简单。session带来的开销对于现在的服务器基本上可忽略。

更多前端精选请关注公众号【topitcode】