摘要:一步一步構(gòu)建一個(gè)應(yīng)用開(kāi)篇地址基于的認(rèn)證流程客戶(hù)端用戶(hù)發(fā)登錄請(qǐng)求服務(wù)端驗(yàn)證用戶(hù)名密碼驗(yàn)證成功服務(wù)端生成一個(gè),響應(yīng)給客戶(hù)端客戶(hù)端之后的每次請(qǐng)求中都帶上這個(gè)服務(wù)端對(duì)需要認(rèn)證的接口要驗(yàn)證�����,驗(yàn)證成功接收請(qǐng)求這里我們采用來(lái)生成��,使用驗(yàn)證驗(yàn)證成功會(huì)把
[一步一步構(gòu)建一個(gè)react應(yīng)用-開(kāi)篇](https://segmentfault.com/a/11...
git地址
基于token的認(rèn)證流程
客戶(hù)端用戶(hù)發(fā)登錄請(qǐng)求
服務(wù)端驗(yàn)證用戶(hù)名密碼
驗(yàn)證成功服務(wù)端生成一個(gè)token��,響應(yīng)給客戶(hù)端
客戶(hù)端之后的每次請(qǐng)求header中都帶上這個(gè)token
服務(wù)端對(duì)需要認(rèn)證的接口要驗(yàn)證token��,驗(yàn)證成功接收請(qǐng)求
這里我們采用jsonwebtoken來(lái)生成token�,
jwt.sign(payload, secretOrPrivateKey, [options, callback])
使用express-jwt驗(yàn)證token(驗(yàn)證成功會(huì)把token信息放在request.user中)
express_jwt({
secret: SECRET,
getToken: (req)=> {
if (req.headers.authorization && req.headers.authorization.split(" ")[0] === "Bearer") {
return req.headers.authorization.split(" ")[1];
} else if (req.query && req.query.token) {
return req.query.token;
}
return null;
}
}
為什么使用redis
采用jsonwebtoken生成token時(shí)可以指定token的有效期���,并且jsonwebtoken的verify方法也提供了選項(xiàng)來(lái)更新token的有效期�����,但這里使用了express_jwt中間件���,express_jwt不提供方法來(lái)刷新token
思路:
客戶(hù)端請(qǐng)求登錄成功��,生成token
將此token保存在redis中�,設(shè)置redis的有效期(例如1h)
新的請(qǐng)求過(guò)來(lái)�,先express_jwt驗(yàn)證token,驗(yàn)證成功���, 再驗(yàn)證token是否在redis中存在�,存在說(shuō)明有效
有效期內(nèi)客戶(hù)端新的請(qǐng)求過(guò)來(lái)�����,提取token,更新此token在redis中的有效期
客戶(hù)端退出登錄請(qǐng)求�,刪除redis中此token
const express_jwt = require("express-jwt")
const redis = require("./redis")
const jwt = require("jsonwebtoken")
const unless = require("express-unless")
const SECRET = "MOVIESKEY"
const token = {
SECRET,
sign: (user) => {
return jwt.sign(user, SECRET)
},
getToken: function fromHeaderOrQuerystring(req) {
if (req.headers.authorization && req.headers.authorization.split(" ")[0] === "Bearer") {
return req.headers.authorization.split(" ")[1];
} else if (req.query && req.query.token) {
return req.query.token;
}
return null;
},
validToken: express_jwt({
secret: SECRET,
getToken: this.getToken
}),
noAuthorization: (err, req, res, next) => {
if (err.status == 401) {
res.json(err)
return
}
next()
},
//token在redis中存在,更新有效期���,不存在說(shuō)明已退出登錄
checkRedis: (req, res, next) => {
const tok = token.getToken(req)
redis.get(tok, (data) => {
if (data) {
// token 在redis中存在�,延長(zhǎng)過(guò)期時(shí)間
redis.updateExpire(tok)
next()
} else {
next(10005)
}
})
},
add:(tok)=>{
redis.add(tok)
},
remove: (req) => {
const tok = token.getToken(req)
tok && redis.remove(tok)
}
}
token.checkRedis.unless = unless
module.exports = token
使用
routes/movies.js
const unlessPath = {
path: [
{ url: "/api/movies", methods: ["GET"] },
{ url: "/api/movies/search/by", methods: ["GET"] },
{ url: /movies/[^/]+$/, methods: ["GET"] },
]
}
if (process.env.NODE_ENV != "test") {
router.use(
token.validToken.unless(unlessPath),
token.noAuthorization,
token.checkRedis.unless(unlessPath)
)
}
router.get("/",(req,res,next)=>{})
router.post("/",(req,res,next)=>{})
router.put("/:movieId",(req,res,next)=>{})
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/88464.html
