【身份认证】-----session+jwt

目录

一、Session认证机制

Ⅰ.Cookie

Ⅱ.Session的工作原理

Ⅲ.在Express中使用session认证

二、JWT认证机制（JSON Web Token）

Ⅰ.JWT工作原理

Ⅱ.JWT的组成部分

Ⅲ.JWT使用方式

Ⅳ在Express中使用JWT

---

如何做反向代理解决跨域问题

本地node服务器开启cors,负责请求的转发和数据接收回传

---

身份认证

通过一定的手段，完成对用户身份的确认

        ①服务器渲染推荐使用Session认证机制

        ②前后端分离推荐使用JWT认证机制

---

一、Session认证机制

HTTP协议的无状态性

客户端的每次HTTP请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次HTTP请求的状态

如何突破HTTP无状态的限制

        可以使用Cookie

---

Ⅰ.Cookie

        是存放在用户浏览器中的一段不超过4kb的字符串，它由一个名称（name）、一个值（value）和其它几个用于控制cookie有效期、安全性、适用范围的可选属性组成

        不用域名下的cookie是各自独立的，每当客户端发起请求时，会自动把当前域名下的所有未过期的的cookie一同发送到服务器

Cookie特征：自动发送、域名独立、过期时限、4kb限制

Cookie在身份认证中的作用

客户端第一次请求服务器时候，服务器通过响应头的形式，向客户端发送一个身份认证的cookie，客户端会自动将Cookie保存在浏览器中

随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证的cookie，通过请求头的形式发送给服务器，服务器即可验证客户端的身份。

Cookie不具有安全性

        由于cookie是存放在浏览器中，而且浏览器也提供了读写Cookie的API，因此Cookie很容易被伪造，不具有安全性，因此不建议服务器将重要的隐私数据，通过Cookie的形式发送给浏览器

Ⅱ.Session的工作原理

Ⅲ.在Express中使用session认证

①安装express-session中间件    npm install express-session

②配置express-session中间件     通过app.use()来注册session中间件

//1.导入session中间件
var session=require('express-session');
//2.配置session中间件
app.use(session({
    secret:'keyboard cat',//secret属性的值可以为任意字符串
    resave:false,//固定写法
    saveUninitialized:true//固定写法
}))

③向session中存数据

当express-session中间件配置成功后，即可通过req.session来访问和使用session对象，从而存储用户的关键信息

app.post('/api/login',(req,res)=>{
    if(req.body.username!=='admin'||req.body.password!=='000000'){
        return res.send({status:1,msg:'登录失败'})
    }
    req.session.user=req.body;
    req.session.islogin=true;
    res.send({status:0,msg:'登陆成功'})
})

④从session中取数据

可以直接从req.session对象上获取之前存储的数据

app.get('/api/username',(req,res)=>{
    if(!req.session.islogin){
        return res.send({status:1,msg:'fail'})
    }
    res.send({status:0,msg:'success',username:req.session.user.username})
})

⑤清空session

调用req.session.destroy()函数，即可清空服务器保存的session信息

app.post('/api/logout',(req,res)=>{
    req.session.destroy()
    res.send({status:0,msg:'退出登录成功'})
})

---

二、JWT认证机制（JSON Web Token）

        目前最流行的跨域认证方式

        Session认证机制需要配合cookie才能实现。由于cookie默认不支持跨域访问，所以，当涉及到前端跨域请求后端接口的时候，需要做很多额外的配置，才能实现跨域session认证。

当前端请求后端接口不存在跨域问题，推荐使用Session身份认证，否则使用JWT

---

Ⅰ.JWT工作原理

        用户的信息通过Token字符串的形式，保存在客户端浏览器中，服务器通过Token字符串形式来认证用户的身份

---

Ⅱ.JWT的组成部分

Header（头部）、Payload（有效荷载）、Signature（签名），三者之间使用英文“.”分隔

Payload部分才是真正的用户信息，它是用户信息经过加密后之后生成的字符串

Header和Signature是安全性相关的部分，只是为了保证Token的安全性

---

Ⅲ.JWT使用方式

        客户端收到服务器返回的JWT之后，通常会将它存储在localstorage或sessionStorage中

此后，客户端每次与服务器通信，都要带上这个JWT的字符串，从而进行身份认证。推荐的做法是把JWT放在HTTP请求头的Authorization字段中   Anthorization:Bearer <token>

---

Ⅳ在Express中使用JWT

①安装JWT相关的包   npm i jsonwebtoken express-jwt

            其中  jsonwebtoken用于生成JWT字符串

                    express-jwt用于将JWT字符串解析还原成JSON对象

②使用require()函数，分别导入JWT相关的包

const jwt=require('jsonwebtoken');
const expressJWT=require('express-jwt');

③定义secret密钥   本质就是一个字符串    const secretKey=’it No1 ’

  为了保证JWT字符串的安全性，防止JWT字符串在网络传输过程中被别人破解，我们需要专门定义一个用于加密和解密的secret密钥：

   当生成JWT字符串时候，需要使用secret密钥对用户的信息进行加密，得到加密好的JWT字符串

   当把JWT字符串解析还原成JSON对象的时候，需要使用secret密钥进行解密

④在登录成功后生成JWT字符串  注意不要把密码加密到token字符中

   调用jsonwebtoken包提供的sign()方法，将用户的信息加密成JWT字符串，响应给客户端      

          参数分别是用户信息对象，加密密钥，配置对象

token:jwt.sign({username:userInfo.username},secretKey,{expiresIn:'30s'})

⑤将JWT字符串还原成JSON对象

//使用app.use()来注册中间件
//expressJWT({secret:secretKey})  //就是用来解析Token的中间件
//.unless({path:[/^\api\//]})用来指定哪些接口不需要访问权限
app.use(expressJWT({secret:secretKey}).unless({path:[/^\/api\//]}))

⑥使用req.user获取用户信息

只要配置成功了express-jwt这个中间件，就可以把解析出来的用户信息，挂载到req.user属性上

在测试时候在密钥前面加Bearer

⑦捕获解析JWT失败后的产生的错误

当使用express-jwt解析Token字符串时，如果客户端发送过来的Token字符串过期或不合法，会产生一个解析失败的错误，影响项目的正常运行。我们可以通过express的错误中间件，捕获这个错误并进行相关的处理

if(err.name==='UnauthorizedError'){
        return res.send({status:401,message:'无效的token'})
    }
    res.send({status:500,message:"未知错误"})
})

---