鉴权的概念
早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。
比如用户中心这个页面需要用户登录之后才能访问,所以就要判断某用户是否有权访问服务器上的资源,这就叫鉴权
基本思路:
身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询)-----session
身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上打孔)-----cookie
cookie的使用
cookie的定义
- cookie是服务器将数据持久化(保存)存储到客户端(浏览器)的一种技术。
- 可以通过浏览器查看某个网站的cookie
cookie的作用
- 本地存储,临时少量数据的存储;
- 由于在向浏览器请求时会自动携带cookie,所以可以用它来做权限验证。
实现思路
- 登录成功,服务器设置cookie
app.post('/login',(req,res)=>{
// res.setHeader('Access-Control-Allow-Origin', '*')
// 如何接收 application/json 的数据?
console.log('接收到的数据是', req.body)
const {name, password} = req.body
if( name === 'admin' && password === '123456') {
// 设置单个cookie
res.setHeader('set-cookie', 'name=lqq');
res.cookie('islogin', 'yes');
res.json({msg:'登录成功'})
} else {
res.json({msg:'登录失败'})
}
})
- 本地设置cookie成功之后,用户下次请求都会自动带上cookie,服务器解析cookie,判断是否登录
// 下载并使用 cookie-parser
var cookieParser = require('cookie-parser');
app.use(cookieParser());
// 测试cookie的接口
app.get('/testcookie',(req,res) => {
console.log('请求携带的cookie是', req.cookies)
// req.cookies保存了所有的cookie
res.json({msg: '测试cookie',data: req.cookies})
})
- 用户退出,服务器删除cookie
app.get('/quit', (req, res) => {
res.clearCookie('name');
res.clearCookie('isLogin');
res.redirect('/login.html');
});
session的使用
实现步骤
- 下载使用express-session
终端命令:npm i express-session
- 引入,设置配置项并使用
//1. 引入session包
const session = require('express-session');
const app = express();
//2. 配置项
let conf = {
secret: '123456', //加密字符串。 使用该字符串来加密session数据,自定义
resave: false, //强制保存session即使它并没有变化
saveUninitialized: false //强制将未初始化的session存储。当新建了一个session且未
//设定属性或值时,它就处于未初始化状态。
};
//3. 使用express-session
app.use(session(conf));
- 登录成功后,在服务器端设置session
app.post('/login', (req, res) => {
// 登录成功
// 保存数据到session
req.session.isLogin = true;
req.session.name = req.body.username;
res.end()
}
- 请求自动携带cookie,服务器端获取session
直接通过req.session.属性名
来获取
app.get('/testsession',(req,res) => {
const islogin = req.session.islogin
const name = req.session.name
res.json({msg: '测试session',data: {islogin, name}})
})
- 退出登录,服务器端删除session
app.get('/quit', (req, res) => {
req.session.destroy();
}