請問昨天結束的早是對堆積在了今天嗎,今天還來加個班更博,看在這個毅力的份上能否給億點點推薦。 有個好消息有個壞消息,先說壞消息吧,就是在這麼學下去我急需急支糖漿,來回顧回顧前面的知識,這幾天學的太急了,搞得有點推著走的意思,好消息就是今天的內容是最後最後node的基礎內容了,果然天不負我,整完然後有 ...
請問昨天結束的早是對堆積在了今天嗎,今天還來加個班更博,看在這個毅力的份上能否給億點點推薦。
有個好消息有個壞消息,先說壞消息吧,就是在這麼學下去我急需急支糖漿,來回顧回顧前面的知識,這幾天學的太急了,搞得有點推著走的意思,好消息就是今天的內容是最後最後node的基礎內容了,果然天不負我,整完然後有兩個大案例,做完我就從上次複習那裡開始一直複習過來,然後全部不欠賬,就昂首挺胸的走進vue了,等等,這個學完可以進去了吧。
1.
今天的第一個內容說一下web開發模式,今天基本就是講一個身份認證的內容,我們的web開發模式呢分為兩種,一種是伺服器渲染模式,就是通過伺服器進行一個字元串拼接,將html頁面拼接出來,然後直接返回給客戶端,這樣一來就不需要我們的ajax了,直接給客戶端就可以了,他的優點呢就是前端耗時少,畢竟都給伺服器做了還有前端什麼事,還有他也有利於seo優化,他的缺點就是占用伺服器資源,而且不利於前後端分離開發效率低。
第二個模式:前後端分離的模式,它是依賴於ajax的一個廣泛應用,後端負責編寫api介面,前端就負責調用介面就完事了。他的一個優點就是開發體驗好、畢竟前後端分離,用戶體驗也好,也減輕了伺服器的壓力。
但是缺點就是不利於seo的優化。
2
然後我們進入身份認證、
什麼事身份認證?
通過一定的手段對用戶身份進行確認的方式。
伺服器渲染開發用的就是session認證,而我們的前後端分離用的就是jwt認證,兩者都各有各的優點誰也不讓誰。
3.
先來說下session吧
首先瞭解一下http無狀態性,就是指客戶端每次的http請求都是獨立的,連續多個請求間沒有直接關係,伺服器也不會主動保留每次http請求狀態(就像收銀員他能記住每個來的客戶是會員嗎?)
突破無狀態限制。
超市突破這種限制的方式就是給每個會員發會員卡是吧,在我們web領域這種方式就是cookie。
cookie,是存儲在用戶瀏覽器一段不超過4kb的字元串,它是由name、value以及有效期。安全性,適用範圍的可選屬性組成,在不同的功能變數名稱下,我們的cookie是各自獨立的,每當客戶端發起請求,會自動把當前功能變數名稱下的所有cookie發給伺服器,註意只是當前功能變數名稱下。
他的特性就是:自動發送、功能變數名稱獨立、過期時限、4kb限制
3.1
cookie在身份認證中的作用
當我們客戶端第一次請求伺服器的時候,伺服器會通過響應頭向客戶端發送一個身份認證的cookie,我們的瀏覽器就會把這個cookie存儲起來,當我們下一次 請求的時候,就會直接發送這個cookie也就是前面說的會自動發送,即可證明身份。
要註意我們的cookie是不具有安全性的,瀏覽器還提供了讀寫cookie的api,所以cookie很容易被偽造,就像我們的會員卡也有偽造的一樣。所以不要用cookie存儲重要數據,包括我們jwt也不能存後面會說到。
3.2
那麼有沒有方法來提高我們cookie的安全性呢?
那就是session認證,就好比我們的會員卡➕刷卡的機制就能破除偽造卡了。
session認證機制:
首先我們的客戶端登錄賬號密碼發送了登錄請求,伺服器會開始驗證,當驗證成功後,會將其存儲在伺服器的記憶體中,同時通過響應頭返回一個對應的cookie字元串,我們的瀏覽器就會把這個字元串保存在當前功能變數名稱下,當我們再次請求的時候,就會把功能變數名稱下所有cookie一起發送伺服器,伺服器就會去找對只對應的cookie匹配成功就能找到你信息了,然後就認證成功了
3.3
說了這麼多怎麼來再伺服器端使用我們的sesson,首先安裝導入兩部曲然後還需要配置,註意配置是固定寫法,secret是可以為任意字元串的。
配置過後就可以用req.session來訪問session對象了,將我們的一些數據用sessin存儲起來,然後登陸成功又可以通過session取出來,當我們退出登錄還可以。destroy方法清空session,註意只是清空這個賬戶信息,不會清空別人的信息,具體代碼如下:
註意看todo也就是我們要做的
// 導入 express 模塊 const express = require('express') // 創建 express 的伺服器實例 const app = express() // TODO_01:請配置 Session 中間件 const session = require('express-session') app.use(session({ secret : 'mySession', resave : 'false', saveUninitiallized: 'ture' })) // 托管靜態頁面 app.use(express.static('./pages')) // 解析 POST 提交過來的表單數據 app.use(express.urlencoded({ extended: false })) // 登錄的 API 介面 app.post('/api/login', (req, res) => { // 判斷用戶提交的登錄信息是否正確 if (req.body.username !== 'admin' || req.body.password !== '000000') { return res.send({ status: 1, msg: '登錄失敗' }) } // TODO_02:請將登錄成功後的用戶信息,保存到 Session 中 // 註意只有當上面配置了session之後才能夠使用req.session這個對象 req.session.user = req.body // 用戶信息 req.session.islogin = true // 用戶的登錄狀態 res.send({ status: 0, msg: '登錄成功' }) }) // 獲取用戶姓名的介面 app.get('/api/username', (req, res) => { // TODO_03:請從 Session 中獲取用戶的名稱,響應給客戶端 // 判斷是否登錄成功 if(!req.session.islogin) { return res.send({status:1, msg:'fail'}) } // 登錄成功即可響應數據 return res.send({ status : 0, msg : 'success', username : [req.session.user.username] }) }) // 退出登錄的介面 app.post('/api/logout', (req, res) => { // TODO_04:清空 Session 信息 req.session.destroy() res.send({ status : 0, msg : '退出登錄成功' }) }) // 調用 app.listen 方法,指定埠號並啟動web伺服器 app.listen(80, function () { console.log('Express server running at http://127.0.0.1:80') })
3.
這就是session,然後我們看到下一個認證機制jwt,session需要cookie才能夠實現是吧,但我們的cookie有一個致命問題,不支持跨域,如果涉及到跨域需要配置很大一堆步驟。
JWT目前最流行跨域認證解決方案。
實現原理:首先還是客戶端發起一個請求頭髮送賬號密碼,伺服器驗證,驗證成功後會經過加密生辰一個token字元串然後會給你返回一個token字元串,我們拿到這個token字元串會將其存儲在localstorage或者sessionStorage中,當我們再次請求就會通過一個authorization的請求頭將token發送給伺服器,伺服器拿到token就會將他還原成用戶的信息對象,然後身份也就認證成功了。
JWT的組成部分是有三部分組成:header。patyload。signature,這個。只是分割作用,我們的真正信息重在中間的payload前後兩個只是保證token的安全性。
怎麼在express中來使用我們的token?
需要安裝兩個包,還需要定義密匙是自己自定義的
第四步生成JWT字元串的時候在sign這個方法裡面,這個配置有效期是token在規定期限之內能夠拿來驗證的期限;
第五步將jwt轉換為json這個語句當中,unless這個語句的意思是不需要身份驗證的介面
配置完第五步轉換為json文件後我們就可以用req.user來獲取信息了,而這個信息就是我們第四步把什麼轉換為jwt字元串的信息,
最後當我們的token過期或者不合法就會出現錯誤,這個時候要需要一個錯誤中間件
// 導入 express 模塊 const express = require('express') // 創建 express 的伺服器實例 const app = express() // TODO_01:安裝並導入 JWT 相關的兩個包,分別是 jsonwebtoken 和 express-jwt const jwt = require('jsonwebtoken') const expressJwt = require('express-jwt') // 允許跨域資源共用 const cors = require('cors') app.use(cors()) // 解析 post 表單數據的中間件 const bodyParser = require('body-parser') const { UnauthorizedError } = require('express-jwt') const { response } = require('express') app.use(bodyParser.urlencoded({ extended: false })) // TODO_02:定義 secret 密鑰,建議將密鑰命名為 secretKey const secretKey = 'hard hard study day day up' // TODO_04:註冊將 JWT 字元串解析還原成 JSON 對象的中間件 app.use(expressJwt({secret : secretKey, algorithms : ['HS256']}).unless({path : [/^\/api\//]})) // 登錄介面 app.post('/api/login', function (req, res) { // 將 req.body 請求體中的數據,轉存為 userinfo 常量 const userinfo = req.body // 登錄失敗 if (userinfo.username !== 'admin' || userinfo.password !== '000000') { return res.send({ status: 400, message: '登錄失敗!' }) } // 登錄成功 // TODO_03:在登錄成功之後,調用 jwt.sign() 方法生成 JWT 字元串。並通過 token 屬性發送給客戶端 // 轉化成token加密文件 const tokenStr = jwt.sign({username : userinfo.username, algorithms : ['HS256']}, secretKey, {expiresIn : '1h'}) res.send({ status: 200, message: '登錄成功!', token: tokenStr // 要發送給客戶端的 token 字元串 }) }) // 這是一個有許可權的 API 介面 app.get('/admin/getinfo', function (req, res) { // TODO_05:使用 req.user 獲取用戶信息,並使用 data 屬性將用戶信息發送給客戶端 res.send({ status: 200, message: '獲取用戶信息成功!', data: {username : req.user} // 要發送給客戶端的用戶信息 }) }) // TODO_06:使用全局錯誤處理中間件,捕獲解析 JWT 失敗後產生的錯誤 app.use((err, req, res, next) => { if (err.name === 'UnauthorizedError') { // 這次錯誤是由token解析失敗導致的 return res.send({status : 401, msg : '無效的token'}) }else { // 其他錯誤 return res.send({status: 500, msg : '未知的錯誤'}) } }) // 調用 app.listen 方法,指定埠號並啟動web伺服器 app.listen(8888, function () { console.log('Express server running at http://127.0.0.1:8888') })
然後後面會有兩個項目,會把之前所學的node綜合起來,我到時候單獨開個博來說一下吧,還是有一些註意事項的
