毕设在做一个移动端的app,遇到了一个小问题,如何记住当前的登录状态。之前做过一个php的小demo,是用session实现的,功能是实现了,但是总感觉怪怪的,于是上网百度了一下,发现了一个基于 Token 的身份验证方法,大致浏览了一下,感觉挺不错的,于是就马上实现了一下。
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
- 客户端使用用户名跟密码请求登录
- 服务端收到请求,去验证用户名与密码
- 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
- 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
- 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数
流程很清晰了,下面来实现一下
首先,引包、
npm install jsonwebtoken --save
coding
const jwt = require('jsonwebtoken'); // token
const secret = 'IAMSECRET'; // 这里可以设置秘钥
let data = {
userName: '测试',
admin: true
}; // 在这里可以定义一些token里的值
jwt.sign({token: 'test'}, secret, {'expiresIn': '1day'});
// 签发token, 说白了就是客户端需要保存的一大长串字符串,这里包含三个参数
// 1.playload:签发的 token 里面要包含的一些数据。
// 2.secret:签发 token 用的密钥,在验证 token 的时候同样需要用到这个密钥。
// 3.options:一些其它的选项。
jwt.verify(token, secret, (error, decoded) => {
if (error) {
doSomething();
return;
}
doSomething();
});
// 这里是验证token的操作,通过接收前端传来的token和服务端秘钥验证token有效性
操作很简单,在我实际的应用中,因为我要实时的检测客户端的登录状态,所以大多数的操作我都需要验证token的有效性,于是,我们需要把验证的过程封装一下。
async function checkToken (data) { // 检查token有效性
return new Promise(async (resolve, reject) => {
let queryCriteria = {
email: data.email
};
let findResult = await user.find(queryCriteria); // 查数据库
if (findResult.length === 0) reject('邮箱未注册');
else {
jwt.verify(data.token, secret, (error, decoded) => {
if (error) reject('登录失效');
else if (!decoded.hasOwnProperty('email')) reject('登录失效'); // token中没有邮箱信息
else if (decoded.email !== data.email) reject('登录失效'); // token中邮箱信息不符
else resolve(true);
});
}
});
}
大体意思就是,我在token里放了用户的注册邮箱,然后每次我都会对前端传过来邮箱和token里存放的邮箱进行校验,如此,我们便能轻松愉快的解决校验问题。
上述内容实际上只是对token运用的入门,在此只是与大家分享一下,token的作用和用法远比这些要复杂,需要静下心来仔细钻研。最后感谢这位大哥的的分享,通俗明了,大家有兴趣也可以阅读一下。https://ninghao.net/blog/2834