课程名称：Vue3+ElementPlus+Koa2 全栈开发后台系统

课程章节：（四）用户登录前后台实现 （六）JWT方案讲解

主讲老师：河畔一角

课程内容：

今天学习的内容包括：JWT 是什么，在 koa.js 中实现用户登录接口的开发。

课程收获：

JWT 是什么：

JWT 是一种跨域认证解决方案。

因为HTTP 协议本身是无状态的，不能识别请求者的身份。

JWT 的优点是：

• 数据传输简单、高效
• jwt 会生成签名，保证传输安全
• jwt 具有时效性
• jwt 更高效利用集群做好单点登录

通过token 就可以识别用户的身份，做身份认证，也可以方便做一些权限校验。

JWT 的数据结构：

使用 JWT 实现登录接口的开发：

需要先安装依赖：

• jsonwebtoken：生成和解密token
• koa-jwt：用来校验用户携带的 token 的合法性，以及做路由鉴权
• md5：数据库存储用户敏感信息比如密码时，需要加密用密文的形式存储

npm install jsonwebtoken koa-jwt md5

实现登录逻辑：

const router = require('koa-router')()
const User = require('../models/userSchema')
const util = require('../utils/util')
const jwt = require('jsonwebtoken')
const md5 = require('md5')
router.prefix('/users')

// 用户登录
router.post('/login', async (ctx) => {
  try {
    const { userName, userPwd } = ctx.request.body;

    const res = await User.findOne({
      userName,
      userPwd: md5(userPwd)
    }, 'userId userName userEmail state role deptId roleList')

    if (res) {
      const data = res._doc;
      // 生成 token，需要传入加密的数据和秘钥，以及配置过期时间
      const token = jwt.sign({
        data
      }, 'imooc', { expiresIn: '1h' })
      data.token = token;
      ctx.body = util.success(data)
    } else {
      ctx.body = util.fail("账号或密码不正确")
    }
  } catch (error) {
    ctx.body = util.fail(error.msg)
  }
})

后端做路由鉴权：

项目只有部分接口是公开访问的，比如登录接口。对于其他接口，需要用户先登录，再携带上 token 去请求，后端会根据 token 判断用户是否有权限访问该接口。

// app.js

const jwt = require('jsonwebtoken')
const koajwt = require('koa-jwt')

app.use(koajwt({ secret: 'imooc' }).unless({
  path: [/^\/api\/users\/login/]
}))