koa2使用JWT实现登录

JSON Web Token 入门教程

什么是jwt？

jwt是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准, 主要有三部分组成：Header.Payload.Signature

• Header 标头通常由两部分组成：令牌的类型，即JWT，以及正在使用的签名算法（例如HMAC SHA256或RSA）

// 这个JSON被编码为Base64Url，形成JWT的第一部分
{
  "alg": "HS256",
  "typ": "JWT"
}

• Payload 令牌的第二部分是有效负载，其中包含声明。声明是关于实体（通常是用户）和其他数据的声明

// 这个JSON被编码为Base64Url，形成JWT的第二部分
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

• Signature 要创建签名部分，您必须采用编码标头，编码的有效负载，秘钥，标头中指定的算法，并对其进行签名

// 以HMAC SHA256算法为例
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

koa-jwt的工作流程

• 用户通过登录Api获取当前用户在有效期内的token
• 需要身份验证的API则都需要携带此前认证过的token发送至服务端
• koa2会利用koa-jwt中间件的默认验证方式进行身份验证，中间件会进行验证成功和验证失败的分流。

koa-jwt的验证方式

• 请求头中设置 authorization为Bearer + token，Bearer后有空格， check the Authorization header for a bearer token

// koa-jwt的默认验证方式: 
{'authorization': "Bearer " + token}

• 自定义getToken方法 opts.getToken function
• 利用Cookie（此cookie非彼cookie）此处的Cookie只作为存储介质发给服务端的区域，校验并不依赖于服务端的session机制，服务端不会进行任何状态的保存。check the cookies (if opts.cookie is set)

koa-jwt搭配jsonwebtoken的简单使用

1. 安装依赖

npm install jsonwebtoken koa-jwt --save

2. 中间件 请求验证token

// 中间件对token进行验证
app.use(async (ctx, next) => {
    return next().catch((err) => {
        if (err.status === 401) {
            ctx.status = 401;
            ctx.body = {
                code: 401,
                msg: err.message
            }
        } else {
            throw err;
        }
    })
});

3. 排除不验证的请求

const SECRET = 'shared-secret'; // demo，可更换
app.use(koajwt({ secret: SECRET, passthrough: true }).unless({
    // 登录，注册接口不需要验证
    path: [/^\/api\/login/]
}));

4. 登陆签发token

// 示例
const USER = {
    username:'zhangsan',
    password:'123456',
    id: 100
}
// 登录接口签发token, 为了简便不使用router
app.use(async (ctx, next) => {
    if(ctx.path === '/api/login' && ctx.method === 'POST'){
        // 登录
        // 判断用户名密码是否匹配，为简单起见，直接使用常量
        let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
        if (checkUser) {
                        let userToken = {name: USER.username, id: USER.id};
            ctx.body = {
                code: 200,
                msg: '登录成功',
                token: jsonwebtoken.sign(
                        userToken,  // 加密userToken, 等同于上面解密的userToken
                        SECRET, 
                        {expiresIn: '1h'}  // 有效时长1小时
                    )
            }
        }else{
            // 登录失败, 用户名密码不正确
            ctx.body = {
                code: 400,
                msg: '用户名密码不匹配'
            }
        }
    }else if (ctx.path=== '/api/user' && ctx.method === 'GET') {
        // 获取用户信息, 这个api需要token验证
        // 中间件统一验证token
        ctx.body = {
            code: 200,
            data: USER,
            msg: '请求成功'
        }   
    }
}) 

5. 接口测试

• 登录接口

  
  
  登录

• 获取用户信息接口

  
  
  未传验证
  
  
  加验证

完整源码

const koa = require('koa');
const koajwt = require('koa-jwt');
const jsonwebtoken = require('jsonwebtoken');
const util = require('util');
const koabody = require('koa-body');
const app = new koa();

const SECRET = 'shared-secret'; // demo，可更换

app.use(koabody());

// 中间件对token进行验证
app.use(async (ctx, next) => {
    // let token = ctx.header.authorization;
    // let payload = await util.promisify(jsonwebtoken.verify)(token.split(' ')[1], SECRET);
    return next().catch((err) => {
        if (err.status === 401) {
            ctx.status = 401;
            ctx.body = {
                code: 401,
                msg: err.message
            }
        } else {
            throw err;
        }
    })
});

app.use(koajwt({ secret: SECRET }).unless({
    // 登录接口不需要验证
    path: [/^\/api\/login/]
}));

// 示例
const USER = {
    username: 'zhangsan',
    password: '123456',
    id: 100
}
// 登录接口签发token, 为了简便不使用router
app.use(async (ctx, next) => {
    if (ctx.path === '/api/login' && ctx.method === 'POST') {
        // 登录
        // 判断用户名密码是否匹配
        let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
        if (checkUser) {
            ctx.body = {
                code: 200,
                msg: '登录成功',
                token: jsonwebtoken.sign(
                    { name: USER.username, id: USER.id },  // 加密userToken
                    SECRET,
                    { expiresIn: '1h' }
                )
            }
        } else {
            // 登录失败, 用户名密码不正确
            ctx.body = {
                code: 400,
                msg: '用户名密码不匹配'
            }
        }
    } else if (ctx.path === '/api/user' && ctx.method === 'GET') {
        // 获取用户信息
        // 中间件统一验证token
        ctx.body = {
            code: 200,
            data: USER,
            msg: '请求成功'
        }
    }
})
app.listen(3000);