Web安全是Web应用中非常重要的一环,主要由后端和服务器承担安全保障
面对请求源,后端有着各种各样的鉴权机制: session,cookie,token,jwt,OAuth,OAuth2,api-key,signature…
本节以jwt为例,演示一个极简的token鉴权
接下来我们使用jsonwebtoken来实现最常见的登录鉴权,登录成功后返回一个token,之后凭借这个token去访问另外的路由
const jwt = require('jsonwebtoken').default;
之后我们会利用这个密钥生成token,和检验token
const secret = 'mysecretkey';
传入用户名和密码,检验密码,正确就生成一个token
生成token: jwt.sign(标志,密钥,选项(生命周期等))
function getToken(user) {
let token = null;
const payload = {
uname: user.uname,
};
if (user.uname == 'root' && user.passwd == 'root') {
token = jwt.sign(payload, secret, { expiresIn: '1h' });
}
return token;
}
传入req,res,next,从请求头中取出名字为’token’的一个token,若请求头里不带token则返回请求报告没token,token校验通过了则放行
function checkToken(req, res, next) {
const token = req.headers['token'];
if (!token) return res.status(401).json({ message: 'No token provided.' });
jwt.verify(token, secret, (err, decoded) => {
if (err) return res.status(500).json({ message: 'Failed to authenticate token.' });
req.userId = decoded.id;
next();
});
}
app.post('/login', (req, res) => {
let user = req.body;
let token = getToken(user);
if(token!=null) {
res.send(token);
} else {
res.status(401).send("wrong");
}
});
将token检验函数作为中间件挂载到 /root 路由上
app.get('/root', checkToken, (req, res) => {
res.send('hello root user!');
});
尝试用api调试工具先访问 login 接口,利用正确的用户名和密码获取token,然后用得到的token去访问 root 接口