最近的項(xiàng)目需要在node服務(wù)端做一個(gè)用戶登錄的校驗(yàn)以及權(quán)限攔截轴咱,專業(yè)一點(diǎn)叫用戶認(rèn)證與授權(quán)锡宋,經(jīng)過一番收集資料盟猖,目前常用的有兩種——JWT和Session
使用JWT
JWT是JsonWebTokens的簡寫形式州藕,具體是啥我就不詳細(xì)寫了纽门,可以查看資料急鳄。
這里引入兩個(gè)插件谤民,express-jwt和JsonWebTokens,-
- JsonWebTokens:用作生成token
- express-jwt:用作驗(yàn)證指定http請求的JsonWebTokens的有效性疾宏,如果有效就將JsonWebTokens的值設(shè)置到req.user里面张足,然后路由到相應(yīng)的router
jwt認(rèn)證流程
在服務(wù)端中使用方式如下:
//安裝
npm i jsonwebtoken --save
npm i express-jwt --save
//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');
//定義簽名
const secret = 'salt';
//生成token
const token = jwt.sign({
name: 123
}, secret, {
expiresIn: 60 //秒到期時(shí)間
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU
//使用中間件驗(yàn)證token合法性
app.use(expressJwt ({
secret: secret
}).unless({
path: ['/login', '/getUserInfo'] //除了這些地址,其他的URL都需要驗(yàn)證
}));
//攔截器
app.use(function (err, req, res, next) {
//當(dāng)token驗(yàn)證失敗時(shí)會(huì)拋出如下錯(cuò)誤
if (err.name === 'UnauthorizedError') {
//這個(gè)需要根據(jù)自己的業(yè)務(wù)邏輯來處理( 具體的err值 請看下面)
res.status(401).send('invalid token...');
}
});
//定義一個(gè)接口岩馍,返回token給客戶端
app.get('/getUserInfo', function(req, res) {
res.json({
token: token
})
})
客戶端中使用token的正確形式應(yīng)該是把token放在authorization 這個(gè)header里碉咆, 對應(yīng)的值以Bearer開頭然后空一格
authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE
//采用axios可以這么寫
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//設(shè)置請求攔截器
instance.interceptors.request.use(function(config) {
config.headers.authorization = `Bearer ${yourToken}`
return config;
})
使用Session
傳統(tǒng)的認(rèn)證和用戶識別分別采用如下形式
- 服務(wù)端:創(chuàng)建一個(gè)session對象保存用戶登錄信息和狀態(tài),該對象有唯一ID蛀恩,并返回一個(gè)cookie給客戶端
- 客戶端:請求api時(shí)發(fā)送http頭部自動(dòng)帶上cookie
這里使用cookie的方式需要引入兩個(gè)插件:
- express-session:node端的session中間件疫铜,主要用作配置session的屬性并生成
- cookie-parser:node端解析cookie對象
使用思路和JWT差不多,這里主要的區(qū)別在于客戶端請求資源時(shí)不用手動(dòng)在http請求的header添加標(biāo)識双谆,瀏覽器會(huì)自動(dòng)加上cookie壳咕,具體使用方式如下
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
app.use(cookieParser('sessiontest'));
app.use(session({
secret: 'sessiontest',//與cookieParser中的一致
resave: true, //(是否允許)當(dāng)客戶端并行發(fā)送多個(gè)請求時(shí),其中一個(gè)請求在另一個(gè)請求結(jié)束時(shí)對session進(jìn)行修改覆蓋并保存顽馋。
rolling: true, //強(qiáng)制在每個(gè)響應(yīng)中重設(shè)cookie的過期時(shí)間谓厘,并重新開始計(jì)時(shí)
saveUninitialized:true, //初始化session時(shí)是否保存到存儲(chǔ)。默認(rèn)為true寸谜, 但是(后續(xù)版本)有可能默認(rèn)失效竟稳,所以最好手動(dòng)添加。
cookie: {
maxAge: 60 * 1000 //過期時(shí)間熊痴,單位毫秒
}
}));
/**
* 資源請求攔截器
* 用戶端若登錄狀態(tài)過期或未登錄則自動(dòng)拋出錯(cuò)誤
*/
app.use(function(req, res, next) {
let url = req.originalUrl;
req.session.touch(); //刷新session過期時(shí)間
if (url !== '/login' && !req.session.user) {
res.status(401).send('登錄狀態(tài)已過期');
return
}
next();
})
對比
作為一個(gè)實(shí)踐派人士他爸,我把兩種都試了一遍,同時(shí)結(jié)合網(wǎng)上的博客歸納了如下對比
- JWT無狀態(tài)果善,可擴(kuò)展和解耦诊笤。使用JWT不需要后端進(jìn)行記錄,每個(gè)token都是獨(dú)立的岭埠。而session的誕生就是為了解決http無狀態(tài)的問題盏混,這也就說明服務(wù)端是有存儲(chǔ)每個(gè)用戶對應(yīng)的session對象的蔚鸥,擴(kuò)展性會(huì)更繁瑣些
- 跨域和CORS。每次發(fā)送請求到后端都需要檢查JWT许赃,只要驗(yàn)證通過就能處理請求止喷。而Cookie只能在單域和子域中發(fā)揮作用
- JWT生成消耗一定的內(nèi)存,而且體積較大混聊,最小的它都比cookie要大弹谁,如果JWT里包含了許多聲明,那問題就比較嚴(yán)重了句喜,由于每次向服務(wù)器發(fā)起請求都要攜帶token预愤,太大了會(huì)造成請求緩慢
- session比JWT好的地方在于在請求時(shí)瀏覽器會(huì)自動(dòng)帶http頭部帶上cookie,并且在用戶持續(xù)使用時(shí)會(huì)不斷地刷新session的過期時(shí)間咳胃,當(dāng)瀏覽器關(guān)閉時(shí)自動(dòng)清除session植康。相比之下JWT本身沒法做到隨著用戶的使用而更新或手動(dòng)清除,只能等自動(dòng)過期
