对token验证的理解
token验证是一种web安全的手段,我们要求来自客户端的请求必须携带token(登录请求除外),服务端每次处理请求都会验证token,验证通过则继续后续逻辑,否则返回相应状态码打回
用到的包
npm install jsonwebtoken --save
通过jsonwebtoken可以创建token或解码已有token获取信息
const jwt = require('jsonwebtoken')
// 创建token
let token = jwt.sign(obj,secret,opt)
//解码token
let payload = jwt.verify(token,secret)
secret 是你自己规定的签名,创建token和解码token都需要这个字符串
实现思路
login处理
当我们收到前台传来的帐号密码查库比对通过后,创建token并返回客户端
const police = require("../../../model/police");
const jwt = require('jsonwebtoken')
let myPolice = new police();
let {secret} = require('../../../util/secret.js')
async function login(ctx, next) {
let postData = ctx.request.body
let selectResult = await myPolice.checkLogin(postData)
if (selectResult.err) {
ctx.body = {
status: 1,
message: err
}
} else if (!selectResult.result) {
ctx.body = {
status: 1,
message: '用户不存在'
}
} else if (selectResult.result[0].password !== postData.password) {
ctx.body = {
status: 1,
message: '密码错误'
}
} else {
// 帐号密码正确 创建token
//payload中写入一些值 time:创建日期 timeout:多长时间后过期
let payload = {userNumber:postData.userNumber,time:new Date().getTime(),timeout:1000*60*60*2}
let token = jwt.sign(payload, secret);
ctx.body = {
status: 0,
message: '登录成功',
data:{
token
}
}
}
}
module.exports = login
check中间件
根据koa洋葱式的中间件机制,我们可以写个检查token的中间件,我们干的事情就是拿到客户端传来的token,解码后取出重要信息,检查
const Promise = require("bluebird");
const jwt = require("jsonwebtoken");
const verify = Promise.promisify(jwt.verify);
let { secret } = require("../util/secret");
async function check(ctx, next) {
let url = ctx.request.url;
// 登录 不用检查
if (url == "/users/login") await next();
else {
// 规定token写在header 的 'autohrization'
let token = ctx.request.headers["authorization"];
// 解码
let payload = await verify(token,secret);
let { time, timeout } = payload;
let data = new Date().getTime();
if (data - time <= timeout) {
// 未过期
await next();
} else {
//过期
ctx.body = {
status: 50014,
message:'token 已过期'
};
}
}
}
module.exports = check
加入中间件即可
const check = require('./utils/check')
app.use(check)
