使用token进行身份验证,我的整体思路是:
- 首先当用户第一次登录的时候向服务端发送请求,服务端接收到这个请求然后用jwt生成一个token,并把它返回给客户端,
- 然后客户端用cookie进行保存,之后每一次客户端向服务端发送请求时都在请求头中携带这个token
- 服务端收到请求,然后去验证客户端请求里面带着的 token,如果验证成功,就向客户端返回请求的数据
1.首先需要在项目中安装jwt模块
npm i jsonwebtoken
2.然后在服务端文件中(我的项目中服务端入口文件是app.js,路由文件是router.js,我在router.js中引入)引入jwt
const jwt = require('jsonwebtoken')
3.jwt有一个sign()方法,类似一个签名,用来生成token
jwt.sign("规则", "加密名字", "过期时间", "箭头函数");
//箭头函数中可以对应的返回一个json
4.第一次登录时,客户端向服务端发送请求,在服务端接收到这个请求后,生成token,并将token返回给客户端
(因为我的项目登录是使用邮箱验证,所以我在此直接对邮箱进行解密)
// 生成token将邮箱加密
const token = jwt.sign(email, 'hmr1028')
res.send({ err: 0, msg: '登录成功',tk:{token} })
5.登录成功时,客户端接收到服务端响应的token,将token保存在cookie中,此时需要先安装 react-cookies
(因为我的项目是用react)
npm i react-cookies
然后在客户端的文件中引入 cookie
import cookie from 'react-cookies'
然后将token保存在cookie中
// 登录成功将 token 保存在前端cookie中
cookie.save('useremail',res.data.tk.token,{path:'/'})
6.在你的服务端跨域设置中 自定义一个请求头set-cookie
,用于之后每次客户端请求服务端资源时在请求头中携带token
// 代理 跨域问题的解决
app.all('*', function(req, res, next) {
res.header("Access-Control-Allow-Origin", "*"); //这里设置允许所有跨域访问s
res.header("Access-Control-Allow-Headers", "X-Requested-With");
res.header("Access-Control-Allow-Methods","PUT,POST,GET,DELETE,OPTIONS");
res.header('Access-Control-Allow-Headers', 'Content-Type, Content-Length, Authorization, Accept, X-Requested-With , yourHeaderFeild,set-cookie'); //在这里加上自定义的请求头
res.header("X-Powered-By",' 3.2.1')
res.header("Content-Type", "application/json;charset=utf-8");
next();
});
7.在下一次请求时,先获取到保存在cookie里的token,然后在请求时在请求头中携带 这个token
// 获取保存在cookie里的token
var tk = cookie.load('useremail')
// console.log(tk);
8.服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
// 拿到请求头中的token
const token = req.headers['set-cookie'].pop()
// 将请求头中的token与jwt生成token进行对比
const a = jwt.verify(token,'hmr1028')
if(a)
{
//验证成功,返回客户端请求的数据
}
else{
// 登录已过期 重新登录
}