标题Node.js—JWT实现身份认证
JWT身份认证 =>前后端分离模式使用的身份认证方式
jwt原理
1.前端提交用户名和密码,服务端验证
2.服务端验证通过后,生成token,返回给前端
3.前端自行保存token(localstorage)
4.登录成功后,每次请求需要在请求头带上Authorization
实现身份认证
需要俩个第三方模块
1.express.jwt => 用于解密token字符串,还可以还可以控制哪些接口需要身份证验证
2.jsonwebtoken => 用于加密token字符串
一、加密token字符串
1.引入require('jsonwebtoken')
2.token:'Bearer'+jwt.sign(要保存的信息,密钥,配置项)
eg:token: 'Bearer ' + jwt.sign({username: 'admin', age: 20}, 'bigevent-9760', {到期时间expiresIn: 20})
会将token挂载到req.user上
二、解密和排除不需要token的接口
注意:请求的时候,请求头必须携带Authorization:token值才能够正常访问,否则访问失败
在其他路由中,可以使用req.user对象,获取到token中保存的数据
1.引入require('express-jwt')
2.配置需要验证token的接口
eg:app.use( expressJWT({secret: 'bigevent-7960', algorithms: ['HS256']}).unless({path: /^\/api/}))
secret:加密密钥
algorithms:加密算法['HS256']
unless:不需要验证的接口排除掉
path取值范围
字符串:表示排除一个地址 如 '/api/login'
数组: 表示排除多个地址 如 ['/api/login', ]
正则: 表示排除符合规则的地址 如 /^\/api/ (排除以 /api开头的接口)