項目中凡是涉及到用戶登錄註冊的都需要一個登錄態來驗證用戶的登錄狀態,常用的登錄臺無外乎是token、session啊這些標識。這裡我使用的是token字段。token一般會包含用戶的個人信息,如:賬號、賬號id、用戶名等等,更為安全的是加入一個自定義的鹽(salt)一起加密,防止用戶信息洩漏。下面就一起來使用一下:
說到token,肯定會想到後端是怎麼知道前端給我的token是不是我傳給他的有效值呢?就是說後端需要有個值去跟前端傳過來的token進行比較才知道合法性。所以後端在生成token的同時自己也需要將這個生成的token存下來備用。我這裡選用的redis。它是一個數據庫,以鍵值對的形式存儲,這樣我就可以將生成的token存儲下來了。至於redis的安裝和部署這裡就不累贅了,這裡直接將使用。
在項目根目錄下新建一個redis文件夾。其下新建一個redis.js文件。
<code>//redis.js
const Redis = require('ioredis')//導入模塊
const redis = {
port: 6379, // Redis port
host: '127.0.0.1', // Redis host
prefix: '***', //存諸前綴
ttl: 60 * 60 * 24 * 7 * 1000, //過期時間
family: 4,
db: 0
}
const redisClient = new Redis(redis)
//導出備用
module.exports = redisClient/<code>
這樣redis就可以使用了。
本文使用jsonwebtoken進行加密和解密。
因為加密和解密是很多接口都需要用的東西,所以我將這些方法寫到公共的部分去。
utils文件下建一個common.js,用來存放公共的方法。
<code>//common.js
const secret = require('./secret')//導入自定義的鹽
const jwt = require('jsonwebtoken')//導入jsonwebtoken
const verify = util.promisify(jwt.verify) // token解密
const common = {//定義一個對象
//加密
//後端生成唯一的key
/*
* paylod:包含來用戶的信息
* secret.secret 自定義的鹽(salt)
* expiresIn 設置這個token的有效期
*/
//jwt.sign是jsonwebtoken模塊的一個方法,可以將傳入的信息加密
getToken(paylod, expiresIn) {
return jwt.sign(paylod, secret.secret, expiresIn)
},
//解密
//根據收到的token獲取用戶信息
getUserInfo(token) {
return verify(token, secret.secret)
},
}
//導出這個對象給外部使用
module.exports=common/<code>
新建一個secret.js文件用來存放自定義的信息
⚠️ 這裡建議鹽最好亂寫 寫得越亂越好,各種字符都加上,並亂序寫。
加密
我們在用戶登錄成功的時候將用戶信息加密。所以我在我的管理員登錄接口那寫。
我的在routes文件下的admin.js文件
<code>//admin.js
const router = require('koa-router')()
const api = require('../controllers/api')
const redisClient = require('../redis/redis.js')
const common = require('../util/comon')
router.prefix('/admin')
//管理員登錄
router.post('/userLogin', async (ctx, next) => {
\t/*寫你的接口邏輯*/
\t//定義一個用戶信息對象
\tconst paylod = {
name: '登錄用戶的用戶名',
userid: '登錄用戶的id',//登錄時可查表查拿到用戶id
author: '[email protected]',
type:'***',
timestamp: new Date()//加個時間戳保證加密後token的唯一性
}
/*核心代碼*/
// 調用上面公共的token加密方法(注:這裡是沒有傳鹽進去的,我是直接在common文件引入來鹽)
// expiresIn設置token的有效期是7天
const token = await common.getToken(paylod, { expiresIn: '7 days' })
//每次登錄之前先清除掉所有的有關此用戶的key(根據用戶id)
let preToken = await redisClient.get(result.userid)
//這個preToken就是當初登錄時redis存下來的key
await redisClient.del(preToken)
//用token作為key、自定義的token前綴+token作為值 傳key給前端作為校驗
await redisClient.set(token, secret.identif + token)
//再生成一對鍵值對 用來記錄是屬於哪個用戶的token 用戶id作為key 傳給前端的token(上一條鍵值對的key)作為值
await redisClient.set(result.userid,token)
ctx.body = {
status: 200,
code: 200,
message: '登錄成功',
data: result,
token: token//將token傳給前端
}
}/<code>
這樣登錄成功後的話前端就能收到後端生成的唯一性的token了,同時我也生成了兩對的鍵值對。一對是以token為key,以自定義的token前綴為value;一對是以用戶id為key,以token作為值的數據。在用戶登錄時拿到用戶的id,在redis中清除掉以這個用戶id為key的記錄,再存入一條以token為key的記錄。這樣就能保證每次用戶登錄該用戶都是隻有一個合法的key(就是所謂的同一個賬戶在多地登錄會擠掉其他人的登錄狀態)。
解密
加密完之後客戶端請求必然需要帶上登錄態token來操作數據,但是不可能在客戶端去傳用戶的數據,那樣太不安全了,這樣我上面生成token時將用戶信息加進去的數據就有用處了,只要解密我就能知道這個token所攜帶的用戶信息了。這個token客戶端看到也是不知道用戶信息的,所以相對來說比較安全些。
在common.js寫了一個獲取前端傳入的token(走請求頭傳入,不以參數的形式)
<code>//common.js
//根據請求頭的信息獲取前端傳入的token
getHeaderToken(ctx) {
if (ctx.header && ctx.header.token) {
return ctx.header.token
}
}
1234567/<code>
<code>const common = require('../util/comon')
//刪除管理員
router.post('/****', async (ctx, next) => {
\tlet token = await common.getHeaderToken(ctx)
\tlet userInfo = await common.getUserInfo(token)
\t//用戶名
\tconsole.log(userInfo.name)
\t//用戶id
\tconsole.log(userInfo.userid)
}/<code>所以,只要前端傳入token,後端就能知道這個token所攜帶的用戶的信息,方便後端處理數據所需的必備條件。
以上就是本文介紹token的使用,下文將介紹根據token登錄態控制接口請求權限。
想看後續文章,記得關注博主哦!
完整項目代碼獲取後臺私信小編01即可
閱讀更多 地表嘴強程序員 的文章
