时间戳

首页 > 技术文章 > 路由过滤token,验证过期,添加白名单

路由过滤token,验证过期,添加白名单

qingsui 2020-08-15 18:23 原文

题外话:将后端文件通过功能进行分类有利于代码的维护。这里目录结构是:直属index.js文件统一处理各个文件与外部的交互。

后端在验证token的时候,需要用到一个库express-jwt,用来验证token、token是否过期和添加不需要验证身份即可访问的路由接口白名单。

这里用到的是盐值加密方法。

jwt配置

const expressAuth = expressJwt({
  secret: PRIVATE_KEY,
  //PRIVATE_KEY:盐值,在后端指定的常量,参与身份加密,解密的时候同样需要验证解密出的盐值是否与原值匹配
  credentialsRequired: true,
  algorithms: ['HS256']//这里必须添加algorithms,指定给token加密的算法
}).unless({
  path: ['/','/user/login']//不需要验证token的路由白名单
})

  

在统一处理路由的文件(index.js)中添加express-jwt的验证并挂载到路由:

const expressAuth=require("./jwt")

const router=express.Router()
//紧接着写express-jwt的token验证方法:
router.use(epressAuth)

生成和解密token;

//封装生成token的方法
let jwt = require("jsonwebtoken")
//加密解密
let Token = {
  //生成token
  encrypt(data) {
    return jwt.sign(data,'token',{expiresIn: 60 * 60 * 24})
  },
  //token解密明了版本
  decrypt(token) {
    try {
      let data = jwt.verify(token,'token')
      return {
        token: true,
        id: data.uid,
        uname: data.uname,
        role: data.role,
        avatar: data.avatar
      }
    } catch (e) {
      return {
        token: false,
        data: e
      }
    }
  },
  //token解密封装版本,从请求头中获取token并解密

  decode(req) {

    const authorization = req.headers.authorization
    let token = ''
    if (authorization.indexOf('Bearer') >= 0) {
      token = authorization.replace("Bearer ","")
    } else {
      token = authorization
    }
    // console.log(token)
    return jwt.verify(token,PRIVATE_KEY,{algorithms: 'HS256'})
  }
}

  

  这里用到错误处理插件为boom,处理错误的方法:

//这里需要创建一个规范响应的构造函数Result,定义处理其中成功的请求:success方法;失败的请求:fail方法;token过期的方法:expired方法
//集中处理404请求的中间件,必须放在正常处理流程之后
router.use((req,res,next) => {
  next(boom.notFound("接口不存在"))
})

//boom中间件会在遇到异常的时候把异常信息传递给异常处理中间件
//所以接下来要写异常处理中间件
router.use((err,req,res,next) => {
  if (err.name && err.name === 'UnauthorizedError') {
    const {status = 401,message} = err
    new Result(null,'Token失效',{
      error: status,
      errMsg: message
    }).expired(res.status(status))
  } else {
    const msg = (err && err.message) || '系统错误'
    const statusCode = (err.output && err.output.statusCode) || 500;
    const errorMsg = (err.output && err.output.payload && err.output.payload.error) || err.message
    new Result(null,msg,{
      error: statusCode,
      errorMsg
    }).fail(res.status(statusCode))
  }
})

  

小贴士:如果不添加加密的方法,这里的expried添加的信息将不会在返回响应的信息中。

 

在添加了算法HS256后,在解析token的时候需要使用同样算法的解密:jtw.verify(token,PRIVATE_KEY,HS256')。

用户验证身份的过程:用户在发送请求的时候是将前端用以登录的用户信息发送给后端,后端用以加密后返回给前端,然后前端使用添加了token信息的请求头向后端发送请求,后端从请求头中拿出token,使用解密方法解密,以下decode方法返回的是Boolean类型,可以用来反应用户身份是否正确。

 

在没有添加加密和解密的时候虽然依然可以通过getInfo获取到用户的信息,但是用户白名单和过期token的检测会出现问题,具体表现在:进入登陆页面的时候直接报错为token过期的错误提示,并强行跳回login页面。

 

推荐阅读