前后端的身份认证

一、web开发模式

目前主流的开发模式有两种，分别是：

1、基于服务端渲染的传统Web开发模式

2、基于前后端分离的Web开发模式

1、服务端渲染的Web开发模式

服务端渲染的概念：服务端发送给客户端的HTML页面，是在服务器通过字段的拼接、动态的生成的。因此，客户端不需要使用Ajax这样的技术额外请求页面的数据，代码示例如下：

2、服务端渲染的优缺点

3、前后端分离的Web开发模式

前后端分离的概念：前后端分离的开发模式，依赖于Ajax技术的广泛应用。简而言之，前后端分离的Web开发模式，就是后端只负责提供API接口，前端使用Ajax调用接口的开发模式。

4、前后端分离的优缺点

5、如何选择Web开发模式

二、身份认证

1、什么是 身份认证

身份认证又称身份验证，是通过一定的手段，完成对用户身份的确认。

2、为什么要身份认证

身份认证的目的，是为了确认当前所声称为某种身份的用户，确实是所声称的用户。

3、不同开发模式下的身份认证

对于服务端渲染和前后端分离这两种开发模式来说，分别有着不同的身份认证方案：

1、服务端渲染推荐使用Session机制

2、前后端分离推荐使用JWT认证机制

三、Session认证机制

1、HTTP协议的无状态性

HTTP协议的无状态性，指的是客户端的每次HTTP请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次HTTP协议请求的状态

2、如何突破HTTP无状态的限制

3、什么是Cookie

4、Cookie在身份认证中的作用

5、Cookie不具有安全性

注意：千万不要使用Cookie存储重要且隐私的数据！比如用户的身份信息，密码等。

6、提高身份认证的安全性

7、Session工作原理

四、在Express中使用Session中间件

1、安装 express-session中间件

2、配置express-session 中间件

3、向session 中存数据

4、从session中取数据

5、清空session

五、JWT认知机制

1、了解Session认证的局限性

2、什么是JWT

JWT是目前最流行的跨域解决方案

3、JWT的工作原理

总结：用户的信息通过Token字符串的形式，保存在客户端浏览器中。服务器通过还原Token字符串来认证用户的身份。

4、JWT的组成部分

JWT通常由三部分组成，分别是Header（头部）、Payload(有效载荷)、Signature（签名）

5、JWT三个部分各自代表的含义

6、JWT的使用方法

六、在Express中使用JWT

1、安装JWT安装包

2、导入JWT相关的包

3、定义secret密钥

4、在登录成功后获取JWT字符串

5、将JWT字符串还原为JSON对象

6、使用req.user获取用户信息