Adonis4 使用JWT Token验证

0. 概念讲解：

应用授权大致可分为有状态的和无状态的，前者是基于Session的验证方式，用户授权后无需再授权。而REST应用多采用后者，每次请求都要发送凭据。注意：adonis使用Hash验证密码，记得使用Hash模块处理密码再存入数据库

1. 建一个apiOnly的项目：

adonis new my-adonis-jwt-test --api-only --yarn，个人喜欢用yarn，apionly不用视图

cd my-adonis-jwt-test 
//使用sqlite3
yarn add sqlite3 -S

执行完毕后，项目database文件夹下会生成一个adonis.sqlite文件，这个名字是根据你的.env文件里面的设置生成的。
推荐用SQLiteStudio查看数据库文件，下载：https://sqlitestudio.pl/index.rvt
其实单纯讲jwt的话，不需要数据库的，但实际中一般是数据库查到记录后再下发jwt token，所以还是安装一下吧。
--api-only参数建立的项目，默认使用jwt验证，所以不用设置，如果是自己手动建项目，则需要按照官网配置一下：http://adonisjs.com/docs/4.0/authentication#_setup
准备工作完毕。

2. jwt基本使用：

• start/router.js

const Route = use('Route')

Route.post('users', 'UserController.save')
Route.get('users', 'UserController.show').middleware('auth')
Route.get('noauth','UserController.noauth')

分别是添加用户和显示用户，我们给其中的显示用户加上auth中间件，添加用户肯定不能加，否则根本就没法注册了-_-||。最后的noauth路由在本文稍后解释

终端输入：adonis make:controller user
打开生成的UserController文件，编写方法：

'use strict'

const User = use('App/Models/User')
class UserController {
  async save({ request, response,auth }) {
    const data = request.only(['username', 'password'])
    try {
      return   await auth.withRefreshToken().attempt(data.username, data.password)
    }
    catch (ex) {
      return ex.message
    }
  }

 async show({ request, auth,response }) {
    try {
      return await auth.check()
      response.ok("check token passed")
    } catch (error) {
      response.send(error.message)
    }
 }

  noauth({ request,response }) {
    response.ok('success')
 }
}

module.exports = UserController

• 如果使用了AuthProvider，则Controller自动获得auth方法参数
• save方法中，首先获得用户post进来的数据，然后使用auth的attemp方法生成jwt token，结果：

{
"type": "bearer",
"token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjEsImlhdCI6MTUxNTA4NzE1OH0.kRTOKu4PkSKz7NRVvsAtJAw0hU5X-cpR9Foc7GPzqMs",
"refreshToken": "b536e951396da7f80259983cfe17e005f70d3b7d7f9fe2f3efd083c765b282754e47805267f8eb1847d9ac1e16965901AFD49NcfhGJ980/qkvhohWNaebSBbBO2gVK62+QWUv46/BrQSDzF1pIzX6yCbzJP"
}

当然，实际中不能这么干，应该是 验证数据（validator组件）→ 保存用户到数据库 → 产生token并下发，一定注意，这个token不保存到数据库。
refreshToken是用来产生新的token，就不用用户名密码了。

• show方法启用了验证（路由中），所以必须要在方法中进行token验证，auth.check就是干这个用的，现在客户端在请求show方法的时候，就必须带上Authorization=Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjEsImlhdCI6MTUxNTA4NTM3OX0.yIYNgogUGfsFy5t08OQoAud9fhwi_SHnEmF5mkoA-xc Header, Bearer 后面的token就是我们刚才下发给客户端的。

• noauth方法内部并没有做任何验证，而在 router中此条路由也没有加auth中间件，这样请求的时候是不需要token的。如果router里面加上auth ：Route.get('noauth','UserController.noauth').middleware('auth'),那么不管方法里有没有验证，如果Header中没有Token，则一样拦截。

就这样，轻松实现了jwt+token验证，简直不敢相信，简单的令人发指！
如果你没有和我一样的感受，那我想贴一张springboot jwt实现的贴图：

11个类文件的java jwt实现

当时写这个差点没吐血。

adonis，真的是一个优美简单的框架。