路由过滤token,验证过期,添加白名单
题外话:将后端文件通过功能进行分类有利于代码的维护。这里目录结构是:直属index.js文件统一处理各个文件与外部的交互。
后端在验证token的时候,需要用到一个库express-jwt,用来验证token、token是否过期和添加不需要验证身份即可访问的路由接口白名单。
这里用到的是盐值加密方法。
jwt配置
const expressAuth = expressJwt({ secret: PRIVATE_KEY, //PRIVATE_KEY:盐值,在后端指定的常量,参与身份加密,解密的时候同样需要验证解密出的盐值是否与原值匹配 credentialsRequired: true, algorithms: ['HS256']//这里必须添加algorithms,指定给token加密的算法 }).unless({ path: ['/','/user/login']//不需要验证token的路由白名单 })
在统一处理路由的文件(index.js)中添加express-jwt的验证并挂载到路由:
const expressAuth=require("./jwt") const router=express.Router() //紧接着写express-jwt的token验证方法: router.use(epressAuth)
生成和解密token;
//封装生成token的方法 let jwt = require("jsonwebtoken") //加密解密 let Token = { //生成token encrypt(data) { return jwt.sign(data,'token',{expiresIn: 60 * 60 * 24}) }, //token解密明了版本 decrypt(token) { try { let data = jwt.verify(token,'token') return { token: true, id: data.uid, uname: data.uname, role: data.role, avatar: data.avatar } } catch (e) { return { token: false, data: e } } }, //token解密封装版本,从请求头中获取token并解密 decode(req) { const authorization = req.headers.authorization let token = '' if (authorization.indexOf('Bearer') >= 0) { token = authorization.replace("Bearer ","") } else { token = authorization } // console.log(token) return jwt.verify(token,PRIVATE_KEY,{algorithms: 'HS256'}) } }
这里用到错误处理插件为boom,处理错误的方法:
//这里需要创建一个规范响应的构造函数Result,定义处理其中成功的请求:success方法;失败的请求:fail方法;token过期的方法:expired方法 //集中处理404请求的中间件,必须放在正常处理流程之后 router.use((req,res,next) => { next(boom.notFound("接口不存在")) }) //boom中间件会在遇到异常的时候把异常信息传递给异常处理中间件 //所以接下来要写异常处理中间件 router.use((err,req,res,next) => { if (err.name && err.name === 'UnauthorizedError') { const {status = 401,message} = err new Result(null,'Token失效',{ error: status, errMsg: message }).expired(res.status(status)) } else { const msg = (err && err.message) || '系统错误' const statusCode = (err.output && err.output.statusCode) || 500; const errorMsg = (err.output && err.output.payload && err.output.payload.error) || err.message new Result(null,msg,{ error: statusCode, errorMsg }).fail(res.status(statusCode)) } })
小贴士:如果不添加加密的方法,这里的expried添加的信息将不会在返回响应的信息中。
在添加了算法HS256后,在解析token的时候需要使用同样算法的解密:jtw.verify(token,PRIVATE_KEY,HS256')。
用户验证身份的过程:用户在发送请求的时候是将前端用以登录的用户信息发送给后端,后端用以加密后返回给前端,然后前端使用添加了token信息的请求头向后端发送请求,后端从请求头中拿出token,使用解密方法解密,以下decode方法返回的是Boolean类型,可以用来反应用户身份是否正确。
在没有添加加密和解密的时候虽然依然可以通过getInfo获取到用户的信息,但是用户白名单和过期token的检测会出现问题,具体表现在:进入登陆页面的时候直接报错为token过期的错误提示,并强行跳回login页面。