Nodejs中的JWT和Session的使用

更新時間：2018年08月21日 11:23:28 作者：單調(diào)先生

這篇文章主要介紹了Nodejs中的JWT和Session的使用，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

最近的項目需要在node服務端做一個用戶登錄的校驗以及權(quán)限攔截，專業(yè)一點叫用戶認證與授權(quán)，經(jīng)過一番收集資料，目前常用的有兩種——JWT和Session

使用JWT

JWT是JsonWebTokens的簡寫形式，具體是啥我就不詳細寫了，可以查看資料。
這里引入兩個插件，express-jwt和JsonWebTokens，-

JsonWebTokens：用作生成token
express-jwt：用作驗證指定http請求的JsonWebTokens的有效性，如果有效就將JsonWebTokens的值設置到req.user里面，然后路由到相應的router

express-jwt內(nèi)部引用了jsonwebtoken，對其封裝使用。使用JWT形式進行認證與授權(quán)的思路如下。

jwt認證流程

在服務端中使用方式如下：

//安裝
npm i jsonwebtoken --save
npm i express-jwt --save

//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');

//定義簽名
const secret = 'salt';
//生成token
const token = jwt.sign({
  name: 123
}, secret, {
  expiresIn: 60 //秒到期時間
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU

//使用中間件驗證token合法性
app.use(expressJwt ({
  secret: secret 
}).unless({
  path: ['/login', '/getUserInfo'] //除了這些地址，其他的URL都需要驗證
}));

//攔截器
app.use(function (err, req, res, next) {
  //當token驗證失敗時會拋出如下錯誤
  if (err.name === 'UnauthorizedError') {  
    //這個需要根據(jù)自己的業(yè)務邏輯來處理（ 具體的err值 請看下面）
    res.status(401).send('invalid token...');
  }
});

//定義一個接口，返回token給客戶端
app.get('/getUserInfo', function(req, res) {
  res.json({
    token: token
  })
})

客戶端中使用token的正確形式應該是把token放在authorization 這個header里，對應的值以Bearer開頭然后空一格

authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE

//采用axios可以這么寫
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//設置請求攔截器
instance.interceptors.request.use(function(config) {
  config.headers.authorization = `Bearer ${yourToken}` 
  return config;
})

使用Session

傳統(tǒng)的認證和用戶識別分別采用如下形式

服務端：創(chuàng)建一個session對象保存用戶登錄信息和狀態(tài)，該對象有唯一ID，并返回一個cookie給客戶端
客戶端：請求api時發(fā)送http頭部自動帶上cookie

這里使用cookie的方式需要引入兩個插件：

express-session：node端的session中間件，主要用作配置session的屬性并生成
cookie-parser：node端解析cookie對象

使用思路和JWT差不多，這里主要的區(qū)別在于客戶端請求資源時不用手動在http請求的header添加標識，瀏覽器會自動加上cookie，具體使用方式如下

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
 
app.use(cookieParser('sessiontest'));
app.use(session({
  secret: 'sessiontest',//與cookieParser中的一致
  resave: true,  //(是否允許)當客戶端并行發(fā)送多個請求時，其中一個請求在另一個請求結(jié)束時對session進行修改覆蓋并保存。
  rolling: true,  //強制在每個響應中重設cookie的過期時間，并重新開始計時
  saveUninitialized:true,  //初始化session時是否保存到存儲。默認為true， 但是(后續(xù)版本)有可能默認失效，所以最好手動添加。
  cookie: {
    maxAge: 60 * 1000 //過期時間，單位毫秒
  }
}));

/**
 * 資源請求攔截器
 * 用戶端若登錄狀態(tài)過期或未登錄則自動拋出錯誤
 */
app.use(function(req, res, next) {
  let url = req.originalUrl;
  req.session.touch(); //刷新session過期時間
  if (url !== '/login' && !req.session.user) {
    res.status(401).send('登錄狀態(tài)已過期');
    return
  }
  next();
})

對比

作為一個實踐派人士，我把兩種都試了一遍，同時結(jié)合網(wǎng)上的博客歸納了如下對比

JWT無狀態(tài)，可擴展和解耦。使用JWT不需要后端進行記錄，每個token都是獨立的。而session的誕生就是為了解決http無狀態(tài)的問題，這也就說明服務端是有存儲每個用戶對應的session對象的，擴展性會更繁瑣些
跨域和CORS。每次發(fā)送請求到后端都需要檢查JWT，只要驗證通過就能處理請求。而Cookie只能在單域和子域中發(fā)揮作用
JWT生成消耗一定的內(nèi)存，而且體積較大，最小的它都比cookie要大，如果JWT里包含了許多聲明，那問題就比較嚴重了，由于每次向服務器發(fā)起請求都要攜帶token，太大了會造成請求緩慢
session比JWT好的地方在于在請求時瀏覽器會自動帶http頭部帶上cookie，并且在用戶持續(xù)使用時會不斷地刷新session的過期時間，當瀏覽器關閉時自動清除session。相比之下JWT本身沒法做到隨著用戶的使用而更新或手動清除，只能等自動過期

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章:

Node如何后臺數(shù)據(jù)庫使用增刪改查功能
這篇文章主要介紹了Node如何后臺數(shù)據(jù)庫使用增刪改查功能,文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
2019-11-11
node.js基于dgram數(shù)據(jù)報模塊創(chuàng)建UDP服務器和客戶端操作示例
這篇文章主要介紹了node.js基于dgram數(shù)據(jù)報模塊創(chuàng)建UDP服務器和客戶端操作,結(jié)合實例形式分析了node.js使用dgram數(shù)據(jù)報模塊創(chuàng)建UDP服務器和客戶端,以及進行UDP廣播、組播相關操作技巧,需要的朋友可以參考下
2020-02-02
Node.js版本發(fā)布策略頻率與穩(wěn)定性的平衡
這篇文章主要為大家介紹了Node.js版本發(fā)布策略頻率與穩(wěn)定性的平衡,幫助大家大家更清晰了解node發(fā)展史,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
2023-10-10
Node.js讀取Excel文件并處理合并單元格
在現(xiàn)代的數(shù)據(jù)處理任務中,Excel 文件是一種非常常見的數(shù)據(jù)存儲格式,本文將介紹如何使用 Node.js 讀取 Excel 文件,并處理其中的合并單元格,需要的可以參考下
2025-03-03
異步JavaScript編程中的Promise使用方法
這篇文章主要介紹了異步JavaScript編程中的Promise使用方法,包含Ajax的結(jié)合操作等問題,需要的朋友可以參考下
2015-07-07
Node.js數(shù)據(jù)流Stream之Readable流和Writable流用法
這篇文章介紹了Node.js數(shù)據(jù)流Stream之Readable流和Writable流的用法，文中通過示例代碼介紹的非常詳細。對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2022-07-07
Node中使用http-proxy-middleware實現(xiàn)代理跨域的方法步驟
本文主要介紹了Node中使用http-proxy-middleware實現(xiàn)代理跨域的方法步驟，文中通過示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2021-11-11
MQTT Client實現(xiàn)消息推送功能的方法詳解
這篇文章主要介紹了MQTT Client實現(xiàn)消息推送功能的方法,結(jié)合實例形式詳細分析了MQTT Client實現(xiàn)消息推送的基本原理、實現(xiàn)方法與相關操作注意事項,需要的朋友可以參考下
2023-05-05
Node.js微信 access_token ( jsapi_ticket ) 存取與刷新的示例
本篇文章主要介紹了Node.js微信 access_token ( jsapi_ticket ) 存取與刷新的示例，具有一定的參考價值，有興趣的可以了解一一下‘
2017-09-09
node.js中的fs.truncateSync方法使用說明
這篇文章主要介紹了node.js中的fs.truncateSync方法使用說明,本文介紹了fs.truncateSync的方法說明、語法、接收參數(shù)、使用實例和實現(xiàn)源碼,需要的朋友可以參考下
2014-12-12