前言
接着上遍文章(使用session保存用户数据)来让使用jwt保存用户数据。
这里会用到passport-jwt/jsonwebtoken。
passport-jwt是passport的一个验证策略。它使用jwt(json web token)验证。
jsonwebtoken是一个编码、解码、验证jwt的模块。
使用jwt保存用户数据与使用session保存用户数据对比
session
json web token
保存在server
保存在client
因session保存在server,所以服务器压力比较大。听说并发量达到1k时就能看到效果。
因jwt保存在client,所以需要加密。
使用jwt
1. 安装依赖。
npm i passport-jwt jsonwebtoken
2. 创建一个配置文件,引用配置是使用。
// ./config.js
module.exports = {
secretKey: '12345-67890-9876-54321',
mongoUrl: 'mongodb://localhost:27017/confusion'
}
3. 使用数据库链接配置
var config = require('./config')
...
const url = config.mongoUrl
const connet = mongoose.connect(url, {useNewUrlParse: true, useCreateIndex: true})
4. 创建验证文件
./authenticate.js
var passport = require('passport'),
LocalStrategy = require('passport-local').Strategy,
User = require('./models/user')
var JwtStrategy = require('passport-jwt').Strategy,
ExtractJwt = require('passport-jwt').ExtractJwt,
jwt = require('jsonwebtoken')
var config = require('./config.js')
passport.use(new LocalStrategy(User.authenticate()))
passport.serializeUser(User.serializeUser())
passport.deserializeUser(User.deserializeUser())
exports.getToken = function (user) {
return jwt.sign(user, config.secretKey, {expiresIn: 3600}) // 签发token时设置超时时间是3600s
}
var opts = {}
opts.jwtFromRequest = ExtractJwt.fromAuthHeaderAsBearerToken() // 从验证头中提取,模型默认是`'bearer'`.
opts.secretOrKey = config.secretKey
exports.jwtPassport = passport.use(new JwtStrategy(opts, (jwt_payload, done) => {
console.log('JWT payload: ', jwt_payload)
User.findOne({_id: jwt_payload._id}, (err, user) => {
if (err) {
return done(err, false)
} else {
if (user) {
return done(null, user)
} else {
return done(null, false)
}
}
})
}))
exports.verifyUser = passport.authenticate('jwt', {session: false}) // 使用jwt就不再需要session保存用户数据了。
5. 用户申请登录时把jwt给前端
// routes/users.js
...
var authenticate = require('../authticate')
router.post('/login', passport.authenticate('local'), (req, res) => { // 登录时还是使用passport-local
var token = authenticate.getToken({_id: req.user._id}) // 得到签发后的jwt
res.statusCode = 200
res.setHeader('Content-Type', 'application/json')
res.json({success: true, token: token, status: 'You are successful logged in!'})
})
6. 前端保存token
// use localStorage
$.ajax({
type: 'post',
dataType: 'json',
url: 'users/login',
data: {
username: 'un',
password: 'pw'
},
success: funciton (res) {
localStorage.token = getToken(res)
},
error: funciton (err) {...}
})
// 还可以使用vux方法。
// 还可以使用封装axios方法。
7. 用户登录超时
jsonwebtoken验证jwt后,若结果不通过,会有3种错误类型。分别是
TokenExpiredError // 当token超时时抛出。
err = {
name: 'TokenExpiredError',
massage: 'jwt expired',
expired: [ExpDate]
}
JsonWebTokenError
jwt错误
err = {
name: 'JsonWebTokenError',
message: 'jwt malformed' // 'jwt malformed', 'jwt signature in required', 'invalid signature', 'jwt audience invalid. expected: [OPTIONS AUDIENCE]', 'jwt issuer invalid. expected: [OPTIONS ISSUER]', 'jwt id invalid. expected:[OPTIONS JWT ID]', 'jwt subject invalid. expected: [OPTIONS SUBJECT]'
}
NotBeforeError
当当前时间超过nbf的值时抛出该错误。
err = {
name: 'NotBeforeError',
message: 'jwt not active',
date: 2018-10-04T16:10:44.000Z
}
passport在验证jwt不通过时(token过期也是一种不通过)自动向前端发送“状态码为401,内容是Unauthorized”.
在使用passport/passport-jwt/jsonwebtoken时没有发现处理token过期的方法。所以在使用passport-jwt验证不通过时再写一个验证是否过期的方法。
// authenicate.js
...
export.verifyUser = passport.authenticate('jwt', {
session: false,
failureRedirect: '/error/auth' // 在这个路由里统一处理验证不通过的事情
})
// routes/error.js
...
router.get('/auth', (req, res, next) => {
let header = req.headers
let rawToken = header.authorization
if (!rawToken.split(' ').length) {
res.json({ // 统一的数据结构方便前端使用
code: 403,
data: {},
message: 'error for get token'
})
} else {
let token = rawToken.split(' ')[1]
jwt.verify(token, config.secretKey, err => { // 这里用到jsonwebtoken/config。注意引用
switch (err.name) {
case 'TokenExpiredError':
case 'NotBeforeError':
let payload = jwt.decode(token)
token = authenticate.getToken({_id: payload._id})
res.statusCode = 200
res.setHeader('Content-Type', 'application/json')
res.json({success: true, token: token, status: '已经刷新token'})
break
case 'JsonWebTokenError':
default:
res.statusCode = 401
res.json({
code: 401,
data: {
error: err
},
message: 'token错误'
})
break
}
})
}
})
8. 用户jwt验证不通过
passport在验证jwt不通过时(token过期也是一种不通过)自动向前端发送“状态码为401,内容是Unauthorized”.
9. 用户申请登出
在前端删除token.
10. 不要打断活动用户的操作
在no.7里若因为token过期造成验证不通过,则向前端返回了新的token。不是在不影响用户操作前提下更新用户的token的。下面在的总结的几种不影响用户操作的前提下更新用户的token的方法。
- 前端设置一个定时器。在小于过期时间时向后端请求新token并保存起来。
- 把token放在cookie时。后端从cookie里取出token,在过期前更新token。
- 将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。
《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线
暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。
艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。
更新动态
- 【雨果唱片】中国管弦乐《鹿回头》WAV
- APM亚流新世代《一起冒险》[FLAC/分轨][106.77MB]
- 崔健《飞狗》律冻文化[WAV+CUE][1.1G]
- 罗志祥《舞状元 (Explicit)》[320K/MP3][66.77MB]
- 尤雅.1997-幽雅精粹2CD【南方】【WAV+CUE】
- 张惠妹.2007-STAR(引进版)【EMI百代】【WAV+CUE】
- 群星.2008-LOVE情歌集VOL.8【正东】【WAV+CUE】
- 罗志祥《舞状元 (Explicit)》[FLAC/分轨][360.76MB]
- Tank《我不伟大,至少我能改变我。》[320K/MP3][160.41MB]
- Tank《我不伟大,至少我能改变我。》[FLAC/分轨][236.89MB]
- CD圣经推荐-夏韶声《谙2》SACD-ISO
- 钟镇涛-《百分百钟镇涛》首批限量版SACD-ISO
- 群星《继续微笑致敬许冠杰》[低速原抓WAV+CUE]
- 潘秀琼.2003-国语难忘金曲珍藏集【皇星全音】【WAV+CUE】
- 林东松.1997-2039玫瑰事件【宝丽金】【WAV+CUE】