node.js -- 身份認證

Heymar發表於2022-11-23

請問昨天結束的早是對堆積在了今天嗎,今天還來加個班更博,看在這個毅力的份上能否給億點點推薦。

有個好訊息有個壞訊息,先說壞訊息吧,就是在這麼學下去我急需急支糖漿,來回顧回顧前面的知識,這幾天學的太急了,搞得有點推著走的意思,好訊息就是今天的內容是最後最後node的基礎內容了,果然天不負我,整完然後有兩個大案例,做完我就從上次複習那裡開始一直複習過來,然後全部不欠賬,就昂首挺胸的走進vue了,等等,這個學完可以進去了吧。

1.

今天的第一個內容說一下web開發模式,今天基本就是講一個身份認證的內容,我們的web開發模式呢分為兩種,一種是伺服器渲染模式,就是透過伺服器進行一個字串拼接,將html頁面拼接出來,然後直接返回給客戶端,這樣一來就不需要我們的ajax了,直接給客戶端就可以了,他的優點呢就是前端耗時少,畢竟都給伺服器做了還有前端什麼事,還有他也有利於seo最佳化,他的缺點就是佔用伺服器資源,而且不利於前後端分離開發效率低。

第二個模式:前後端分離的模式,它是依賴於ajax的一個廣泛應用,後端負責編寫api介面,前端就負責呼叫介面就完事了。他的一個優點就是開發體驗好、畢竟前後端分離,使用者體驗也好,也減輕了伺服器的壓力。

但是缺點就是不利於seo的最佳化。

2

然後我們進入身份認證、

什麼事身份認證?

透過一定的手段對使用者身份進行確認的方式。

伺服器渲染開發用的就是session認證,而我們的前後端分離用的就是jwt認證,兩者都各有各的優點誰也不讓誰。

3.

先來說下session吧

首先了解一下http無狀態性,就是指客戶端每次的http請求都是獨立的,連續多個請求間沒有直接關係,伺服器也不會主動保留每次http請求狀態(就像收銀員他能記住每個來的客戶是會員嗎?)

突破無狀態限制。

超市突破這種限制的方式就是給每個會員發會員卡是吧,在我們web領域這種方式就是cookie。

cookie,是儲存在使用者瀏覽器一段不超過4kb的字串,它是由name、value以及有效期。安全性,適用範圍的可選屬性組成,在不同的域名下,我們的cookie是各自獨立的,每當客戶端發起請求,會自動把當前域名下的所有cookie發給伺服器,注意只是當前域名下。

他的特性就是:自動傳送、域名獨立、過期時限、4kb限制

3.1

cookie在身份認證中的作用

當我們客戶端第一次請求伺服器的時候,伺服器會透過響應頭向客戶端傳送一個身份認證的cookie,我們的瀏覽器就會把這個cookie儲存起來,當我們下一次 請求的時候,就會直接傳送這個cookie也就是前面說的會自動傳送,即可證明身份。

要注意我們的cookie是不具有安全性的,瀏覽器還提供了讀寫cookie的api,所以cookie很容易被偽造,就像我們的會員卡也有偽造的一樣。所以不要用cookie儲存重要資料,包括我們jwt也不能存後面會說到。

3.2

那麼有沒有方法來提高我們cookie的安全性呢?

那就是session認證,就好比我們的會員卡➕刷卡的機制就能破除偽造卡了。

session認證機制:

首先我們的客戶端登入賬號密碼傳送了登入請求,伺服器會開始驗證,當驗證成功後,會將其儲存在伺服器的記憶體中,同時透過響應頭返回一個對應的cookie字串,我們的瀏覽器就會把這個字串儲存在當前域名下,當我們再次請求的時候,就會把域名下所有cookie一起傳送伺服器,伺服器就會去找對只對應的cookie匹配成功就能找到你資訊了,然後就認證成功了

3.3

說了這麼多怎麼來再伺服器端使用我們的sesson,首先安裝匯入兩部曲然後還需要配置,注意配置是固定寫法,secret是可以為任意字串的。

配置過後就可以用req.session來訪問session物件了,將我們的一些資料用sessin儲存起來,然後登陸成功又可以透過session取出來,當我們退出登入還可以。destroy方法清空session,注意只是清空這個賬戶資訊,不會清空別人的資訊,具體程式碼如下:

注意看todo也就是我們要做的

// 匯入 express 模組
const express = require('express')
// 建立 express 的伺服器例項
const app = express()

// TODO_01:請配置 Session 中介軟體
const session = require('express-session')
app.use(session({
  secret : 'mySession',
  resave : 'false',
  saveUninitiallized: 'ture'
}))

// 託管靜態頁面
app.use(express.static('./pages'))
// 解析 POST 提交過來的表單資料
app.use(express.urlencoded({ extended: false }))

// 登入的 API 介面
app.post('/api/login', (req, res) => {
  // 判斷使用者提交的登入資訊是否正確
  if (req.body.username !== 'admin' || req.body.password !== '000000') {
    return res.send({ status: 1, msg: '登入失敗' })
  }

  // TODO_02:請將登入成功後的使用者資訊,儲存到 Session 中
  // 注意只有當上面配置了session之後才能夠使用req.session這個物件
  req.session.user = req.body // 使用者資訊
  req.session.islogin = true // 使用者的登入狀態


  res.send({ status: 0, msg: '登入成功' })
})

// 獲取使用者姓名的介面
app.get('/api/username', (req, res) => {
  // TODO_03:請從 Session 中獲取使用者的名稱,響應給客戶端
  // 判斷是否登入成功
  if(!req.session.islogin) {
    return res.send({status:1, msg:'fail'})
  }
  // 登入成功即可響應資料
  return res.send({
    status : 0,
    msg : 'success',
    username : [req.session.user.username]
  })
})

// 退出登入的介面
app.post('/api/logout', (req, res) => {
  // TODO_04:清空 Session 資訊
  req.session.destroy()
  res.send({
    status : 0,
    msg : '退出登入成功'
  })
})

// 呼叫 app.listen 方法,指定埠號並啟動web伺服器
app.listen(80, function () {
  console.log('Express server running at http://127.0.0.1:80')
})

file
3.

這就是session,然後我們看到下一個認證機制jwt,session需要cookie才能夠實現是吧,但我們的cookie有一個致命問題,不支援跨域,如果涉及到跨域需要配置很大一堆步驟。

JWT目前最流行跨域認證解決方案。

實現原理:首先還是客戶端發起一個請求頭髮送賬號密碼,伺服器驗證,驗證成功後會經過加密生辰一個token字串然後會給你返回一個token字串,我們拿到這個token字串會將其儲存在localstorage或者sessionStorage中,當我們再次請求就會透過一個authorization的請求頭將token傳送給伺服器,伺服器拿到token就會將他還原成使用者的資訊物件,然後身份也就認證成功了。

JWT的組成部分是有三部分組成:header。patyload。signature,這個。只是分割作用,我們的真正資訊重在中間的payload前後兩個只是保證token的安全性。

怎麼在express中來使用我們的token?

需要安裝兩個包,還需要定義密匙是自己自定義的

第四步生成JWT字串的時候在sign這個方法裡面,這個配置有效期是token在規定期限之內能夠拿來驗證的期限;

第五步將jwt轉換為json這個語句當中,unless這個語句的意思是不需要身份驗證的介面

配置完第五步轉換為json檔案後我們就可以用req.user來獲取資訊了,而這個資訊就是我們第四步把什麼轉換為jwt字串的資訊,

最後當我們的token過期或者不合法就會出現錯誤,這個時候要需要一個錯誤中介軟體

// 匯入 express 模組
const express = require('express')
// 建立 express 的伺服器例項
const app = express()

// TODO_01:安裝並匯入 JWT 相關的兩個包,分別是 jsonwebtoken 和 express-jwt
const jwt = require('jsonwebtoken')
const expressJwt = require('express-jwt')
// 允許跨域資源共享
const cors = require('cors')
app.use(cors())

// 解析 post 表單資料的中介軟體
const bodyParser = require('body-parser')
const { UnauthorizedError } = require('express-jwt')
const { response } = require('express')
app.use(bodyParser.urlencoded({ extended: false }))

// TODO_02:定義 secret 金鑰,建議將金鑰命名為 secretKey
const secretKey = 'hard hard study day day up'
// TODO_04:註冊將 JWT 字串解析還原成 JSON 物件的中介軟體
app.use(expressJwt({secret : secretKey, algorithms : ['HS256']}).unless({path : [/^\/api\//]}))
// 登入介面
app.post('/api/login', function (req, res) {
  // 將 req.body 請求體中的資料,轉存為 userinfo 常量
  const userinfo = req.body
  // 登入失敗
  if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
    return res.send({
      status: 400,
      message: '登入失敗!'
    })
  }
  // 登入成功
  // TODO_03:在登入成功之後,呼叫 jwt.sign() 方法生成 JWT 字串。並透過 token 屬性傳送給客戶端
  // 轉化成token加密檔案
  const tokenStr = jwt.sign({username : userinfo.username, algorithms : ['HS256']}, secretKey, {expiresIn : '1h'})
  res.send({
    status: 200,
    message: '登入成功!',
    token: tokenStr // 要傳送給客戶端的 token 字串
  })
})

// 這是一個有許可權的 API 介面
app.get('/admin/getinfo', function (req, res) {
  // TODO_05:使用 req.user 獲取使用者資訊,並使用 data 屬性將使用者資訊傳送給客戶端
  
  res.send({
    status: 200,
    message: '獲取使用者資訊成功!',
    data: {username : req.user} // 要傳送給客戶端的使用者資訊
  })
})

// TODO_06:使用全域性錯誤處理中介軟體,捕獲解析 JWT 失敗後產生的錯誤
app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    // 這次錯誤是由token解析失敗導致的
    return res.send({status : 401, msg : '無效的token'})
  }else {
    // 其他錯誤
    return res.send({status: 500, msg : '未知的錯誤'})
  }
})
// 呼叫 app.listen 方法,指定埠號並啟動web伺服器
app.listen(8888, function () {
  console.log('Express server running at http://127.0.0.1:8888')
})

然後後面會有兩個專案,會把之前所學的node綜合起來,我到時候單獨開個博來說一下吧,還是有一些注意事項的

相關文章