课程名称:Vue3+ElementPlus+Koa2 全栈开发后台系统
课程章节:(四)用户登录前后台实现 (六)JWT方案讲解
主讲老师:河畔一角
课程内容:
今天学习的内容包括:JWT 是什么,在 koa.js 中实现用户登录接口的开发。
课程收获:
JWT 是什么:
JWT 是一种跨域认证解决方案。
因为HTTP 协议本身是无状态的,不能识别请求者的身份。
JWT 的优点是:
- 数据传输简单、高效
- jwt 会生成签名,保证传输安全
- jwt 具有时效性
- jwt 更高效利用集群做好单点登录
通过token 就可以识别用户的身份,做身份认证,也可以方便做一些权限校验。
JWT 的数据结构:
使用 JWT 实现登录接口的开发:
需要先安装依赖:
- jsonwebtoken:生成和解密token
- koa-jwt:用来校验用户携带的 token 的合法性,以及做路由鉴权
- md5:数据库存储用户敏感信息比如密码时,需要加密用密文的形式存储
npm install jsonwebtoken koa-jwt md5
实现登录逻辑:
const router = require('koa-router')()
const User = require('../models/userSchema')
const util = require('../utils/util')
const jwt = require('jsonwebtoken')
const md5 = require('md5')
router.prefix('/users')
// 用户登录
router.post('/login', async (ctx) => {
try {
const { userName, userPwd } = ctx.request.body;
const res = await User.findOne({
userName,
userPwd: md5(userPwd)
}, 'userId userName userEmail state role deptId roleList')
if (res) {
const data = res._doc;
// 生成 token,需要传入加密的数据和秘钥,以及配置过期时间
const token = jwt.sign({
data
}, 'imooc', { expiresIn: '1h' })
data.token = token;
ctx.body = util.success(data)
} else {
ctx.body = util.fail("账号或密码不正确")
}
} catch (error) {
ctx.body = util.fail(error.msg)
}
})
后端做路由鉴权:
项目只有部分接口是公开访问的,比如登录接口。对于其他接口,需要用户先登录,再携带上 token 去请求,后端会根据 token 判断用户是否有权限访问该接口。
// app.js
const jwt = require('jsonwebtoken')
const koajwt = require('koa-jwt')
app.use(koajwt({ secret: 'imooc' }).unless({
path: [/^\/api\/users\/login/]
}))