题外话:将后端文件通过功能进行分类有利于代码的维护。这里目录结构是:直属index.js文件统一处理各个文件与外部的交互。
后端在验证token的时候,需要用到一个库express-jwt,用来验证token、token是否过期和添加不需要验证身份即可访问的路由接口白名单。
这里用到的是盐值加密方法。
jwt配置
const expressAuth = expressJwt({
secret: PRIVATE_KEY,
//PRIVATE_KEY:盐值,在后端指定的常量,参与身份加密,解密的时候同样需要验证解密出的盐值是否与原值匹配
credentialsRequired: true,
algorithms: ['HS256']//这里必须添加algorithms,指定给token加密的算法
}).unless({
path: ['/','/user/login']//不需要验证token的路由白名单
})
在统一处理路由的文件(index.js)中添加express-jwt的验证并挂载到路由:
const expressAuth=require("./jwt")
const router=express.Router()
//紧接着写express-jwt的token验证方法:
router.use(epressAuth)
生成和解密token;
//封装生成token的方法
let jwt = require("jsonwebtoken")
//加密解密
let Token = {
//生成token
encrypt(data) {
return jwt.sign(data,'token',{expiresIn: 60 * 60 * 24})
},
//token解密明了版本
decrypt(token) {
try {
let data = jwt.verify(token,'token')
return {
token: true,
id: data.uid,
uname: data.uname,
role: data.role,
avatar: data.avatar
}
} catch (e) {
return {
token: false,
data: e
}
}
},
//token解密封装版本,从请求头中获取token并解密
decode(req) {
const authorization = req.headers.authorization
let token = ''
if (authorization.indexOf('Bearer') >= 0) {
token = authorization.replace("Bearer ","")
} else {
token = authorization
}
// console.log(token)
return jwt.verify(token,PRIVATE_KEY,{algorithms: 'HS256'})
}
}
这里用到错误处理插件为boom,处理错误的方法:
//这里需要创建一个规范响应的构造函数Result,定义处理其中成功的请求:success方法;失败的请求:fail方法;token过期的方法:expired方法
//集中处理404请求的中间件,必须放在正常处理流程之后
router.use((req,res,next) => {
next(boom.notFound("接口不存在"))
})
//boom中间件会在遇到异常的时候把异常信息传递给异常处理中间件
//所以接下来要写异常处理中间件
router.use((err,req,res,next) => {
if (err.name && err.name === 'UnauthorizedError') {
const {status = 401,message} = err
new Result(null,'Token失效',{
error: status,
errMsg: message
}).expired(res.status(status))
} else {
const msg = (err && err.message) || '系统错误'
const statusCode = (err.output && err.output.statusCode) || 500;
const errorMsg = (err.output && err.output.payload && err.output.payload.error) || err.message
new Result(null,msg,{
error: statusCode,
errorMsg
}).fail(res.status(statusCode))
}
})
小贴士:如果不添加加密的方法,这里的expried添加的信息将不会在返回响应的信息中。
在添加了算法HS256后,在解析token的时候需要使用同样算法的解密:jtw.verify(token,PRIVATE_KEY,HS256')。
用户验证身份的过程:用户在发送请求的时候是将前端用以登录的用户信息发送给后端,后端用以加密后返回给前端,然后前端使用添加了token信息的请求头向后端发送请求,后端从请求头中拿出token,使用解密方法解密,以下decode方法返回的是Boolean类型,可以用来反应用户身份是否正确。
在没有添加加密和解密的时候虽然依然可以通过getInfo获取到用户的信息,但是用户白名单和过期token的检测会出现问题,具体表现在:进入登陆页面的时候直接报错为token过期的错误提示,并强行跳回login页面。