之前从网上照着视频敲过jwt,说实话敲得时候我都是一头雾水,但当时只想出效果,并没有深入了解,最近受于疫情的影响,动手实现一个APP,基于uniapp,取名叫H-Chat,其中用户认证模块自然用到token,于是翻了翻之前模仿的那个代码,结合网上搜索的结果,对json web token(jwt)有了更进一步的了解。
下面是典型的token认证方式:
1.客户端登录时通过账号和密码到服务端进行认证,认证通过后,服务端通过持有的密钥生成Token,Token中一般包含失效时长和用户唯一标识,如用户ID,服务端返回Token给客户端;
2.客户端保存服务端返回的Token;
3.客户端进行业务请求时在Head的Authorization字段里面放置Token,如:
Authorization: Bearer Token
4.服务端对请求的Token进行校验,如果Token不是存放在Cookie中,需要解决用户主动注销,但设置的过期时间并未过期问题。
一开始我受困于怎么个流程, 其实经过网上搜索后知道了整个机制,那么变成起来就更加清晰了。后来受困于两个拦截器的编写
最初我的困惑点如下两个方面:
- 客户端每次请求都得携带服务端给的token交给服务端验证,难道我每次请求都得将token作为参数,手动输入再请求?那岂不是很麻烦,后来经过几个小时的钻研,终于发现这是可以写在请求头的。。。 并且就如上边的步骤3说的那样,这样一来这个问题解决了。
- 服务端又如何去验证呢,需不需要每次都验证呢? 我最初模仿的那个项目用的一个中间件叫passport,我记得很清楚,当时在编写这个passport.js的时候看的我一脸懵逼,第一个困惑解决后,我就知道了,并且有了验证方法:
其实可以不用借助其他中间件,就用jwt来验证,
代码如下
// passport.js
const jwt = require('jsonwebtoken');
var res = null;