用户身份验证通常有两种方式,一种是基于cookie的认证方式,另一种是基于token的认证方式。当前常见的无疑是基于token的认证方式。以下所提到的koa均为koa2版本。

token认证的优点是无状态机制,在此基础之上,可以实现天然的跨域和前后端分离等。

token认证的缺点是服务器每次都需要对其进行验证,会产生额外的运行压力。此外,无状态的api缺乏对用户流程或异常的控制,为了避免一些例如回放攻击的异常情况,大多会设置较短的过期时间。

准备工作

使用koa-jwt的大致流程是:

1. 用户通过身份验证API(登录)获取当前用户在有效期内的token

2. 需要身份验证的API则都需要携带此前认证过的token发送至服务端

3. koa会利用koa-jwt中间件的默认验证方式进行身份验证,中间件会进行验证成功和验证失败的分流。

koa-jwt中间件的验证方式有三种:

1. 在请求头中设置 authorization为Bearer + token,注意Bearer后有空格。(koa-jwt的默认验证方式)

{'authorization': "Bearer " + token}

2. 自定义getToken方法

3. 利用Cookie(此cookie非彼cookie)此处的Cookie只作为存储介质发给服务端的区域,校验并不依赖于服务端的session机制,服务端不会进行任何状态的保存。

实战逻辑:

1.在登录路由中进行验证,可携带用户名等必要信息,并将其放至上下文对象中。

router.post('/login', async (ctx, next) => {

    const user = ctx.request.body;

    if (user && user.username === 'tate') {

        let {username} = user;

        const token = sign({username, test: 'testok'}, secret, {expiresIn: '1h'});

        ctx.body = {

            mssage: 'GET TOKEN SUCCESS',

            code: 1,

            token

        }

    } else {

        ctx.body = {

            message: 'param error',

            code: -1

        }

    }

})

2. 客户端登录成功并获取token信息后,将其保存在客户端中。如localstorage。

3. 在访问需要用户登录信息验证的接口是,需要将请求头设置authorization。此处我使用过两种方式:

(1)利用jquery或axios等前端库在对应的钩子中进行拦截设置请求头,此处以jq为例。这种思路有一个比较麻烦的点就是,所有需要验证的接口都需要单独设置请求头。如果用户自己通过url上拼装token进行访问,则不能实现对应效果。

        $.ajax({

            url: '/userinfo',

            type: 'get',

            data: {

                param1: 'post1',

                param2: 'post2',

                token: localStorage.getItem('token')

            },

            beforeSend: function (xhr) {

                xhr.setRequestHeader("authorization","Bearer " + localStorage.getItem('token'));

            },

            success: function (msg) {

                console.log(msg);

            },

            fail: function (err) {

                console.log(err);

            }

        })

(2)第二种就是利用koa的中间件在总路由中进行拦截处理。只要存在拼装了token字段的参数,就进行验证。此方法最大的优点就是遍历,但注意的一点是,需要在后端总路由拦截时做好架构,以免对其他路由造成干扰。

app.use(bodyParser())

app.use(async (ctx, next) => {

    console.log(ctx)

    let params =Object.assign({}, ctx.request.query, ctx.request.body);

    ctx.request.header = {'authorization': "Bearer " + (params.token || '')}

    await next();

})

3.利用koa-jwt设置需要验证才能访问的接口,验证成功后可在上下文中的state中获取状态信息。

router.get('/userinfo', jwt, async (ctx, next) => {

    ctx.body = {username: ctx.state.user.username}

    console.log(ctx)

})

.get('/viplist', jwt, async (ctx, next) => {

    console.log(ctx.state)

    ctx.body = 'check ok'

})

以下为核心后端文件的源码:

const koa = require('koa');

const app = new koa();

const bodyParser = require('koa-bodyparser');

const Router = require('koa-router');

const router = new Router();

const views = require('koa-views');

const static = require('koa-static');

const path = require('path');

const { sign } = require('jsonwebtoken');

const secret = 'demo';

const jwt = require('koa-jwt')({secret});

app.use(bodyParser())

app.use(views(__dirname + '/views', {

    map: {html: 'ejs'}

}))

app.use(static(path.join(__dirname, '/static')))

app.use(async (ctx, next) => {

    console.log(ctx)

    let params =Object.assign({}, ctx.request.query, ctx.request.body);

    ctx.request.header = {'authorization': "Bearer " + (params.token || '')}

    await next();

})

router.get('/', async (ctx, next) => {

    await ctx.render('index')

})

router.post('/login', async (ctx, next) => {

    const user = ctx.request.body;

    if (user && user.username === 'tate') {

        let {username} = user;

        const token = sign({username, test: 'testok'}, secret, {expiresIn: '1h'});

        ctx.body = {

            mssage: 'GET TOKEN SUCCESS',

            code: 1,

            token

        }

    } else {

        ctx.body = {

            message: 'param error',

            code: -1

        }

    }

})

.get('/userinfo', jwt, async (ctx, next) => {

    ctx.body = {username: ctx.state.user.username}

    console.log(ctx)

})

.get('/viplist', jwt, async (ctx, next) => {

    console.log(ctx.state)

    ctx.body = 'check ok'

})

router.get('/404', async (ctx, next) => {

    await ctx.render('404')

})

app

    .use(router.routes())

    .use(router.allowedMethods())

app.listen(3000, () => {

    console.log('server is running at port 3000');

    console.log(3)

})

  

koa2,koa-jwt中token验证实战详解的更多相关文章

  1. 011-Scala中的apply实战详解

    011-Scala中的apply实战详解 object中的apply方法 class中的apply方法 使用方法 apply方法可以应用在类或者Object对象中 class类 必须要创建实例化的类对 ...

  2. Scala 深入浅出实战经典 第57讲:Scala中Dependency Injection实战详解

    王家林亲授<DT大数据梦工厂>大数据实战视频 Scala 深入浅出实战经典(1-87讲)完整视频.PPT.代码下载:百度云盘:http://pan.baidu.com/s/1c0noOt6 ...

  3. Scala 深入浅出实战经典 第55讲:Scala中Infix Type实战详解

    王家林亲授<DT大数据梦工厂>大数据实战视频 Scala 深入浅出实战经典(1-64讲)完整视频.PPT.代码下载: 百度云盘:http://pan.baidu.com/s/1c0noOt ...

  4. Scala 深入浅出实战经典 第54讲:Scala中复合类型实战详解

    王家林亲授<DT大数据梦工厂>大数据实战视频 Scala 深入浅出实战经典(1-64讲)完整视频.PPT.代码下载:百度云盘:http://pan.baidu.com/s/1c0noOt6 ...

  5. Scala 深入浅出实战经典 第53讲:Scala中结构类型实战详解

    王家林亲授<DT大数据梦工厂>大数据实战视频 Scala 深入浅出实战经典(1-64讲)完整视频.PPT.代码下载:百度云盘:http://pan.baidu.com/s/1c0noOt6 ...

  6. Scala 深入浅出实战经典 第58讲:Scala中Abstract Types实战详解

    王家林亲授<DT大数据梦工厂>大数据实战视频 Scala 深入浅出实战经典(1-87讲)完整视频.PPT.代码下载: 百度云盘:http://pan.baidu.com/s/1c0noOt ...

  7. 第58讲:Scala中Abstract Types实战详解

    这一讲我们来学习下抽像类型.让我们看下代码 package scala.learnimport scala.io.BufferedSourceimport scala.io.Source trait ...

  8. 第56讲:Scala中Self Types实战详解

    今天学习了self type的内容,让我们来看下代码 package scala.learn class Self{  self =>    val tmp = "Scala" ...

  9. 第55讲:Scala中Infix Type实战详解

    今天学习了Infix type的知识,来看看实战代码: def main(args:Array[String]){    object log { def >>:(data:String) ...

随机推荐

  1. 如何用纯 CSS 创作一个菜单反色填充特效

    效果预览 在线演示 按下右侧的"点击预览"按钮可以在当前页面预览,点击链接可以全屏预览.https://codepen.io/comehope/pen/qYMoPo 可交互视频教程 ...

  2. 用css、如何让图片自动适应屏幕大小,不出现滚动条,不变形,兼容各个浏览器?急!!!

    如果是个背景图的话,定义一个div,高100%,宽100%,里面放个img<div class='bg'> <img src="images/bg.jpg" al ...

  3. mongoDB数据库文件路径和数据操作

    1.查看MongoDB在电脑上的安装路径 which mongod 2.默认mongodb 数据文件是放到根目录 data/db 文件夹下,如果没有这个文件,需要自行创建 mkdir -p /data ...

  4. sql server 函数详解(4)日期和时间函数

    时间和日期函数第一部分 时间和日期函数第二部分

  5. appium 自动化测试环境搭建

    最近再学习appium,把学习的过程记录下来,以防止到时候 换个电脑就不知道这么安装搭建appium环境了. 环境搭建: 0.JDK环境是必备的,这里大家自行百度,   1.安装 node 环境,前辈 ...

  6. react 在新窗口 打开页面

    遇到这个需求 首先通过 Link a去尝试直接跳转.发现2个问题 1.Link跳转 会自动进行登录校验,我设想是路由没有匹配到,去验证后大致排除了. 因为这个链接 直接粘贴到浏览器 是可以访问到的. ...

  7. 利用mybatis-generator自动生成代码(转)

    利用mybatis-generator自动生成代码 mybatis-generator有三种用法:命令行.eclipse插件.maven插件.个人觉得maven插件最方便,可以在eclipse/int ...

  8. no input file specified 三种解决方法

    一.IIS Noinput file specified 方法一:改PHP.ini中的doc_root行,打开ini文件注释掉此行,然后重启IIS 方法二: 请修改php.ini 找到 ; cgi.f ...

  9. fiddler4自动生成jmeter脚本

    接口.性能测试任务当遇到从浏览器或移动app自己抓包的情况出现时就变得巨苦逼了,苦在哪里?苦在需要通过抓包工具抓报文,需要通过抓包报文梳理业务逻辑.需要将梳理的逻辑编写成脚本.最最苦的情况是,自己抓包 ...

  10. 浙大数据结构课后习题 练习三 7-4 List Leaves (25 分)

    Given a tree, you are supposed to list all the leaves in the order of top down, and left to right. I ...