摘要:一前言���,是為了在網(wǎng)絡(luò)環(huán)境間傳遞聲明而執(zhí)行的一種基于的開放標(biāo)準(zhǔn)��。用戶簽發(fā)添加中間件校驗判斷是否可用獲取解密�,獲取用戶名和認(rèn)證失敗中添加處理此處在開發(fā)時需要過濾掉登錄接口����,否則會導(dǎo)致驗證永遠(yuǎn)失敗。前端處理前端開發(fā)使用的是��,發(fā)送請求使用的是�。
一、前言
JWT(JSON Web Token)�,是為了在網(wǎng)絡(luò)環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)(RFC 7519)。
JWT不是一個新鮮的東西����,網(wǎng)上相關(guān)的介紹已經(jīng)非常多了。不是很了解的可以在網(wǎng)上搜索一下相關(guān)信息����。
同步到sau交流學(xué)習(xí)社區(qū):https://www.mwcxs.top/page/45...
二��、源碼
Talk is cheap. Show me the code.
三����、工作流程
JWT本質(zhì)來說是一個token����。在前后端進(jìn)行HTTP連接時來進(jìn)行相應(yīng)的驗證��。
博客的后臺管理系統(tǒng)發(fā)起登錄請求����,后端服務(wù)器校驗成功之后,生成JWT認(rèn)證信息�;
前端接收到JWT后進(jìn)行存儲;
前端在之后每次接口調(diào)用發(fā)起HTTP請求時�,會將JWT放到HTTP的headers參數(shù)里的authorization中一起發(fā)送給后端;
后端接收到請求時會根據(jù)JWT中的信息來校驗當(dāng)前發(fā)起HTTP請求的用戶是否是具有訪問權(quán)限的��,有訪問權(quán)限時則交給服務(wù)器繼續(xù)處理��,沒有時則直接返回401錯誤���。
四���、實現(xiàn)過程
1. 登錄成功生成JWT
說明:以下代碼只保留了核心代碼,詳細(xì)代碼可在對應(yīng)文件中查看�,下同。
// /server/api/admin/admin.controller.js
const jwt = require("jsonwebtoken");
const config = require("../../config/config");
exports.login = async(ctx) => {
// ...
if (hashedPassword === hashPassword) {
// ...
// 用戶token
const userToken = {
name: userName,
id: results[0].id
};
// 簽發(fā)token
const token = jwt.sign(userToken, config.tokenSecret, { expiresIn: "2h" });
// ...
}
// ...
}
2. 添加中間件校驗JWT
// /server/middlreware/tokenError.js
const jwt = require("jsonwebtoken");
const config = require("../config/config");
const util = require("util");
const verify = util.promisify(jwt.verify);
/**
* 判斷token是否可用
*/
module.exports = function () {
return async function (ctx, next) {
try {
// 獲取jwt
const token = ctx.header.authorization;
if (token) {
try {
// 解密payload,獲取用戶名和ID
let payload = await verify(token.split(" ")[1], config.tokenSecret);
ctx.user = {
name: payload.name,
id: payload.id
};
} catch (err) {
console.log("token verify fail: ", err)
}
}
await next();
} catch (err) {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
success: 0,
message: "認(rèn)證失敗"
};
} else {
err.status = 404;
ctx.body = {
success: 0,
message: "404"
};
}
}
}
}
3. Koa.js中添加JWT處理
此處在開發(fā)時需要過濾掉登錄接口(login)�,否則會導(dǎo)致JWT驗證永遠(yuǎn)失敗。
// /server/config/koa.js
const jwt = require("koa-jwt");
const tokenError = require("../middlreware/tokenError");
// ...
const app = new Koa();
app.use(tokenError());
app.use(bodyParser());
app.use(koaJson());
app.use(resource(path.join(config.root, config.appPath)));
app.use(jwt({
secret: config.tokenSecret
}).unless({
path: [/^/backapi/admin/login/, /^/blogapi//]
}));
module.exports = app;
4.前端處理
前端開發(fā)使用的是Vue.js����,發(fā)送HTTP請求使用的是axios。
(1) 登錄成功之后將JWT存儲到localStorage中(可根據(jù)個人需要存儲��,我個人是比較喜歡存儲到localStorage中)����。
methods: {
login: async function () {
// ...
let res = await api.login(this.userName, this.password);
if (res.success === 1) {
this.errMsg = "";
localStorage.setItem("SONG_EAGLE_TOKEN", res.token);
this.$router.push({ path: "/postlist" });
} else {
this.errMsg = res.message;
}
}
}
(2) Vue.js的router(路由)跳轉(zhuǎn)前校驗JWT是否存在,不存在則跳轉(zhuǎn)到登錄頁面�����。
// /src/router/index.js
router.beforeEach((to, from, next) => {
if (to.meta.requireAuth) {
const token = localStorage.getItem("SONG_EAGLE_TOKEN");
if (token && token !== "null") {
next();
} else {
next("/login");
}
} else {
next();
}
});
(3) axios攔截器中給HTTP統(tǒng)一添加Authorization信息
// /src/api/config.js
axios.interceptors.request.use(
config => {
const token = localStorage.getItem("SONG_EAGLE_TOKEN");
if (token) {
// Bearer是JWT的認(rèn)證頭部信息
config.headers.common["Authorization"] = "Bearer " + token;
}
return config;
},
error => {
return Promise.reject(error);
}
);
(4)axios攔截器在接收到HTTP返回時統(tǒng)一處理返回狀態(tài)
// /src/main.js
axios.interceptors.response.use(
response => {
return response;
},
error => {
if (error.response.status === 401) {
Vue.prototype.$msgBox.showMsgBox({
title: "錯誤提示",
content: "您的登錄信息已失效��,請重新登錄",
isShowCancelBtn: false
}).then((val) => {
router.push("/login");
}).catch(() => {
console.log("cancel");
});
} else {
Vue.prototype.$message.showMessage({
type: "error",
content: "系統(tǒng)出現(xiàn)錯誤"
});
}
return Promise.reject(error);
}
);
五����、總結(jié)
這個基本上就是JWT的流程。當(dāng)然單純的JWT并不是說絕對安全的�����,不過對于一個個人博客系統(tǒng)的認(rèn)證來說還是足夠的����。
最后打個小廣告。目前正在開發(fā)新版的個人博客中�,包括兩部分:
【前端】(https://github.com/saucxs/son...
【后端】(https://github.com/saucxs/son...
都已在GitHub上開源,目前在逐步完善功能中�����。歡迎感興趣的同學(xué)fork和star�����。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/99358.html
