node学习笔记

科黎

已于 2022-09-01 20:50:01 修改

阅读量114

点赞数

文章标签：学习服务器前端

于 2022-09-01 20:45:23 首次发布

本文链接：https://blog.csdn.net/m0_56513091/article/details/126651054

版权

Web开发模式

服务端渲染的Web开发模式

概念：HTML页面是在服务器通过字符串拼接动态生成的（不需ajax额外请求页面数据）

优点：

前端耗时少
有利于SEO

缺点

占用服务器端资源
不利于前后端分离，开发效率低

前后端分离的Web开发模式

概念：依赖于Ajax技术的应用，后端负责API接口，前端使用Ajax调用接口

优点

开发体验好
用户体验好
减轻了服务器的渲染压力

缺点

不利于SEO（利用Vue、React框架的SSR解决）

身份认证

用户身份确认

不同开发模式下的身份认证

服务端渲染推荐Session认证机制
前后端分离推荐使用JWT认证

session认证机制

HTTP协议无状态性

描述：客户端的每次HTTP请求都是独立的，服务器不会主动保留每次HTTP请求的状态

突破HTTP无状态的限制

方法：颁发Cookie

Cookie

概念：储存在用户浏览器中的一段不超过4kB的字符串.

由一个名称（Name）、一个值（Value）和其他几个用于控制Cookie有效期、安全性、使用范围的可选属性组成

不同域名下Cookie相互独立，访问网站时会自动把当前域名下所有未过期的Cookie一同发送到服务器

Cookie不具有安全性

原因：浏览器也提供了读写Cookie的API，Cookie很容易伪造

提高身份认证的安全性

Cookie+Cookie认证理念，就是Session认证机制的精髓

在这里插入图片描述

在Express中使用Session认证

1.安装express-session中间件

npm install express-session

2.配置express-session中间件

通过app.use()来注册session中间件

//导入session中间件

var session=require('express-session')

//配置session中间件

app.use(session({

  secret:'keyboard cat',  //secret属性可以指定任意字符

  resave:false,      //固定写法

  saveUninitialized:true  //固定写法

}))

3.向session中存数据

当express-session中间件配置成功后，即可通过req.session访问和使用session对象

req.session.user=req.body	//将用户的信息储存在Session中

req.session.islogin = true	//将用户的登陆状态，储存到Session中

4.从session中获取数据

可以直接从req.session对象上获取之前存储的数据

直接调用req.session对象中的属性即可

5.清空session

req.session.destory()	//清空Session信息

只会清空当前用户的session

JWT认证机制

Session认证的局限性

需要配合Cookie才能实现，但是Cookie不支持跨域，所以当前端跨域请求后端接口时，需要做很多额外的配置。

JWT

是最流行的跨域认证解决方案

工作原理：

在这里插入图片描述

JWT的组成部分

JWT通常由三部分组成，分别是Header(头部)，Payload(有效载荷)，Signature(签名)

Header.Payload.Signature

Playload部分才是真正的用户信息
Header和Signature是安全相关的部分，只是为了保证Token的安全性。

在这里插入图片描述

JWT的使用方式

客户端在收到JWT后，会储存在localStorage或sessionStorage中

把JWT放在HTTP请求头的Authorization字段中，格式如下

	Authorization: Bearer <token>

在Express中使用JWT

安装JWT相关的包

安装两个JWT相关的包：

npm i jsonwebtaken express-jwt

jsonwebtoken：用于生成JWT字符串

express-jwt：将JWT字符串解析成JSON对象

导入JWT相关的包

//用于生成JWT字符串的包
const jwt=require('jsonwebtaken')
//导入用户端发来的JWT字符串，解析成JSON对象
const expressjwt=require('express-jwt')

3.定义secret密匙

通过secret密匙对用户信息加密，得到加密好的jwt字符串
解析成json对象时，需要使用secret密钥进行解密

//定义secret密钥,命名为secretkey,实质是一个字符串（越复杂越好）
const  secretkey='wukl_1720 >_<'

4.在登陆成功后生成JWT字符串

app.post('/api/login',function(req,res){
    //...登陆失败
    //登陆成功后，生成JWT字符串，通过token属性响应给客户端
    res.send({
        status:0,
        message:'登陆成功'，
        //jwt.sign（）方法生成jwt字符串,三个参数分别是：用户信息对象，加密密匙，配置对象
        token:jwt.sign({
        {username:userinfo.username},
        secretKey,
        //expiresIn属性指定token有效期
        { expiresIn:'30s'}
    })
    })
})

5.将JWT字符串还原为JSON对象

//使用app.use()来注册中间件
//expressJWT({secret:secretKey})就是来解析Token的中间件
//.unless({path:[/^\/api\//]})用来指定哪些接口不需要访问
app.use(express({secret:secretKey}).unless({path:[/^\/api\//]}))

6.使用req.user获取用户信息

express-jwt配置成功后,使用req.user对象访问JWT字符串信息

//
api.get('/admin/getinfo',function(req,res){
    res.send({
        status:200,
        message:'获取用户信息成功'，
        data：req.user
    })
})

7.捕获解析JWT失败后产生的错误

通过Express的错误中间件捕获错误（过期或不合法）：

app.use((err.req,res,next) => {
    //token解析失败导致的错误
    if(err.name === 'UnauthorizedError'){
        retuen res.send({
            status:401,message:'无效的token'
        })
    res.send({
        status:500,
        message:'未知错误'
    })
    }
})