大體思路

　　后端書寫REST api時(shí)，有一些api是非常敏感的，比如獲取用戶個(gè)人信息，查看所有用戶列表，修改密碼等。如果不對(duì)這些api進(jìn)行保護(hù)，那么別人就可以很容易地獲取并調(diào)用這些 api 進(jìn)行操作。

　　所以對(duì)于一些api，在調(diào)用之前，我們?cè)诜?wù)端必須先對(duì)操作者進(jìn)行“身份認(rèn)證”，這就是所謂的鑒權(quán)。

　　Json Web Token 簡(jiǎn)稱為 JWT，它定義了一種通信雙方之間以 JSON 對(duì)象的形式安全傳遞信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公鑰密鑰對(duì)進(jìn)行簽名，復(fù)雜度較高，換來(lái)的是更可靠的安全系數(shù)。

　　整個(gè)認(rèn)證的流程大體如下：

　　首先用戶登錄的接口是不用token認(rèn)證的，因?yàn)檫@個(gè)接口本身就是token的產(chǎn)生來(lái)源。前端輸入用戶名和密碼后請(qǐng)求服務(wù)器登錄接口，服務(wù)器驗(yàn)證用戶名密碼正確后，生成token并返回給前端，前端存儲(chǔ)token，并在后面的請(qǐng)求中把token帶在請(qǐng)求頭中傳給服務(wù)器，服務(wù)器驗(yàn)證token有效，才可以進(jìn)行下一步操作。

服務(wù)器生成token

　　由于我們的服務(wù)端使用 Koa2 框架進(jìn)行開發(fā)，除了要使用到 jsonwebtoken 庫(kù)之外，還要使用一個(gè) koa-jwt 中間件，該中間件針對(duì) Koa 對(duì) jsonwebtoken 進(jìn)行了封裝，使用起來(lái)更加方便。

　const router = require('koa-router')();const jwt = require('jsonwebtoken');const userModel = require('../models/userModel.js');router.post('/login', async (ctx) => { const data = ctx.request.body;const result = await userModel.findOne({  name: data.name,  password: data.password }) if(result !== null){  const token = jwt.sign({   name: result.name,   _id: result._id  }, 'zhangnan', { expiresIn: '2h' });  return ctx.body = {   code: 200,   token: token,   msg: '登錄成功'  } }else{  return ctx.body = {   code: 400,   token: null,   msg: '用戶名或密碼錯(cuò)誤'  } }});module.exports = router;

　　（注意：這里暫時(shí)不討論加鹽加密校驗(yàn)，實(shí)際項(xiàng)目中密碼不可能這樣明文驗(yàn)證，這里只是為了著重討論token鑒權(quán)。在驗(yàn)證了用戶名密碼正確之后，就可以調(diào)用 jsonwebtoken 的 sign() 方法來(lái)生成token，接收三個(gè)參數(shù)，第一個(gè)是載荷，用于編碼后存儲(chǔ)在 token 中的數(shù)據(jù)，也是驗(yàn)證 token 后可以拿到的數(shù)據(jù)；第二個(gè)是密鑰，自己定義的，隨便寫個(gè)什么單詞都可以，但是驗(yàn)證的時(shí)候一定要相同的密鑰才能解碼；第三個(gè)是options，可以設(shè)置 token 的過(guò)期時(shí)間。）

前端獲取token

　　接下來(lái)就是前端獲取 token，這里是在 vue.js 中使用 axios 進(jìn)行請(qǐng)求，請(qǐng)求成功之后拿到 token 保存到 localStorage 中。

submit(){ axios.post('/login', {  name: this.username,  password: this.password }).then(res => {  if(res.code === 200){   localStorage.setItem('token', res.data.token);  }else{   this.$message('登錄失敗')  } })}

　　然后前端在請(qǐng)求后端api時(shí)，就把 token 帶在請(qǐng)求頭中傳給服務(wù)器進(jìn)行驗(yàn)證。每次請(qǐng)求都要獲取 localStorage 中的 token，這樣很麻煩，這里使用了 axios 的請(qǐng)求攔截器，進(jìn)行全局設(shè)置，對(duì)每次請(qǐng)求都進(jìn)行了取 token 放到 headers 中的操作。

axios.interceptors.request.use(config => { const token = localStorage.getItem('token'); config.headers.common['Authorization'] = 'Bearer ' + token; return config;})

（這段代碼，如果是vue項(xiàng)目，可以直接放在main.js中設(shè)置，表示每次請(qǐng)求前都會(huì)往請(qǐng)求頭的authorization里塞一個(gè)token，至于那個(gè)Bearer 是koa-jwt的一個(gè)標(biāo)識(shí)單詞，方便解析）

服務(wù)器驗(yàn)證token

　　接下來(lái)服務(wù)器收到前端發(fā)過(guò)來(lái)的token后，就可以進(jìn)行驗(yàn)證。

const koa = require('koa');const koajwt = require('koa-jwt');const app = new koa();app.use(koajwt({ secret: 'zhangnan'}).unless({  path: [///register/, ///login/]}));

（在這里沒(méi)有定義錯(cuò)誤處理函數(shù)，由于出現(xiàn)錯(cuò)誤后會(huì)返回401，所以我直接就讓前端來(lái)處理這種異常情況，給出一個(gè)錯(cuò)誤的交互提示即可）

分析koa-jwt源碼

　　我們?cè)?code style="margin: 3px auto 0px; padding: 2px 4px; outline: none; font-style: inherit; font-weight: inherit; background: rgb(249, 242, 244); width: 640px; line-height: 1.5; clear: both; font-size: 12px; border: 1px solid rgb(204, 204, 204); color: rgb(199, 37, 78); border-radius: 0px; font-family: Menlo, Monaco, Consolas, "Courier New", monospace;">node_mudules里面找到koa-jwt/lib/resolvers文件夾下的auth-header.js文件，看下koa-jwt做了些什么

　　（可以看到它是先判斷請(qǐng)求頭中是否帶了 authorization，如果有，則通過(guò)正則將 token 從 authorization 中分離出來(lái)，這里我們也看到了Bearer這個(gè)單詞。如果沒(méi)有 authorization，則代表了客戶端沒(méi)有傳 token 到服務(wù)器，這時(shí)候就拋出 401 錯(cuò)誤狀態(tài)。）

　　再看看上一級(jí)的vertify.js。

　　（可以看到在 verify.js 中，它就是調(diào)用 jsonwebtoken 原生提供的 verify() 方法進(jìn)行驗(yàn)證返回結(jié)果。jsonwebtoken 的 sign() 方法用于生成 token ，而 verify() 方法當(dāng)然則是用來(lái)解析 token。屬于jwt配對(duì)生產(chǎn)的兩個(gè)方法，所以koa-jwt這個(gè)中間件也沒(méi)做什么事，無(wú)非就是用正則解析請(qǐng)求頭，調(diào)用jwt的vertify方法驗(yàn)證token，在koa-jwt文件夾的index.js中，koa-jwt還調(diào)用koa-unless進(jìn)行路由權(quán)限分發(fā)）

　　以上就是json web token的大體流程。

總結(jié)

以上所述是小編給大家介紹的koa2服務(wù)端使用jwt進(jìn)行鑒權(quán)及路由權(quán)限分發(fā)的流程分析,希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)VeVb武林網(wǎng)網(wǎng)站的支持！
如果你覺(jué)得本文對(duì)你有幫助，歡迎轉(zhuǎn)載，煩請(qǐng)注明出處，謝謝！