JWT與Session怎么在Nodejs中使用
JWT與Session怎么在Nodejs中使用���?相信很多沒有經驗的人對此束手無策����,為此本文總結了問題出現的原因和解決方法����,通過這篇文章希望你能解決這個問題����。
使用JWT
JWT是JsonWebTokens的簡寫形式��,具體是啥我就不詳細寫了����,可以查看資料����。
這里引入兩個插件���,express-jwt和JsonWebTokens�����,-
JsonWebTokens:用作生成token
express-jwt:用作驗證指定http請求的JsonWebTokens的有效性�����,如果有效就將JsonWebTokens的值設置到req.user里面���,然后路由到相應的router
express-jwt內部引用了jsonwebtoken����,對其封裝使用����。使用JWT形式進行認證與授權的思路如下�����。
jwt認證流程
在服務端中使用方式如下:
//安裝
npm i jsonwebtoken --save
npm i express-jwt --save
//引入
const jwt= require('jsonwebtoken');
const expressJwt = require('express-jwt');
//定義簽名
const secret = 'salt';
//生成token
const token = jwt.sign({
name: 123
}, secret, {
expiresIn: 60 //秒到期時間
});
//生成的token
//eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU
//使用中間件驗證token合法性
app.use(expressJwt ({
secret: secret
}).unless({
path: ['/login', '/getUserInfo'] //除了這些地址���,其他的URL都需要驗證
}));
//攔截器
app.use(function (err, req, res, next) {
//當token驗證失敗時會拋出如下錯誤
if (err.name === 'UnauthorizedError') {
//這個需要根據自己的業務邏輯來處理( 具體的err值 請看下面)
res.status(401).send('invalid token...');
}
});
//定義一個接口��,返回token給客戶端
app.get('/getUserInfo', function(req, res) {
res.json({
token: token
})
})客戶端中使用token的正確形式應該是把token放在authorization 這個header里��, 對應的值以Bearer開頭然后空一格
authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQmluTWFpbmciLCJkYXRhIjoiPT09PT09PT09PT09PSIsImlhdCI6MTUwMTgxNDE4OCwiZXhwIjoxNTAxODE0MjQ4fQ.GoxGlc6E02W5VvqDNawaOrj3MPO-4UYeFdngKR4bVTE
//采用axios可以這么寫
const instance = axios.create();
const yourToken = 'sfsgagfdgd';
//設置請求攔截器
instance.interceptors.request.use(function(config) {
config.headers.authorization = `Bearer ${yourToken}`
return config;
})使用Session
傳統的認證和用戶識別分別采用如下形式
這里使用cookie的方式需要引入兩個插件:
使用思路和JWT差不多���,這里主要的區別在于客戶端請求資源時不用手動在http請求的header添加標識����,瀏覽器會自動加上cookie��,具體使用方式如下
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
app.use(cookieParser('sessiontest'));
app.use(session({
secret: 'sessiontest',//與cookieParser中的一致
resave: true, //(是否允許)當客戶端并行發送多個請求時��,其中一個請求在另一個請求結束時對session進行修改覆蓋并保存���。
rolling: true, //強制在每個響應中重設cookie的過期時間��,并重新開始計時
saveUninitialized:true, //初始化session時是否保存到存儲����。默認為true����, 但是(后續版本)有可能默認失效�,所以最好手動添加����。
cookie: {
maxAge: 60 * 1000 //過期時間��,單位毫秒
}
}));
/**
* 資源請求攔截器
* 用戶端若登錄狀態過期或未登錄則自動拋出錯誤
*/
app.use(function(req, res, next) {
let url = req.originalUrl;
req.session.touch(); //刷新session過期時間
if (url !== '/login' && !req.session.user) {
res.status(401).send('登錄狀態已過期');
return
}
next();
})對比
作為一個實踐派人士�,我把兩種都試了一遍�,同時結合網上的博客歸納了如下對比
JWT無狀態�����,可擴展和解耦���。使用JWT不需要后端進行記錄��,每個token都是獨立的����。而session的誕生就是為了解決http無狀態的問題���,這也就說明服務端是有存儲每個用戶對應的session對象的�����,擴展性會更繁瑣些
跨域和CORS���。每次發送請求到后端都需要檢查JWT�����,只要驗證通過就能處理請求�。而Cookie只能在單域和子域中發揮作用
JWT生成消耗一定的內存�����,而且體積較大��,最小的它都比cookie要大��,如果JWT里包含了許多聲明����,那問題就比較嚴重了���,由于每次向服務器發起請求都要攜帶token��,太大了會造成請求緩慢
session比JWT好的地方在于在請求時瀏覽器會自動帶http頭部帶上cookie�����,并且在用戶持續使用時會不斷地刷新session的過期時間�����,當瀏覽器關閉時自動清除session��。相比之下JWT本身沒法做到隨著用戶的使用而更新或手動清除���,只能等自動過期
看完上述內容���,你們掌握JWT與Session怎么在Nodejs中使用的方法了嗎�����?如果還想學到更多技能或想了解更多相關內容���,歡迎關注億速云行業資訊頻道�����,感謝各位的閱讀�����!
