node.js -- 身份認(rèn)證

請問昨天結(jié)束的早是對堆積在了今天嗎，今天還來加個班更博，看在這個毅力的份上能否給億點點推薦。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供旺蒼網(wǎng)站建設(shè)、旺蒼做網(wǎng)站、旺蒼網(wǎng)站設(shè)計、旺蒼網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、旺蒼企業(yè)網(wǎng)站模板建站服務(wù)，十多年旺蒼做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

有個好消息有個壞消息，先說壞消息吧，就是在這么學(xué)下去我急需急支糖漿，來回顧回顧前面的知識，這幾天學(xué)的太急了，搞得有點推著走的意思，好消息就是今天的內(nèi)容是最后最后node的基礎(chǔ)內(nèi)容了，果然天不負(fù)我，整完然后有兩個大案例，做完我就從上次復(fù)習(xí)那里開始一直復(fù)習(xí)過來，然后全部不欠賬，就昂首挺胸的走進(jìn)vue了，等等，這個學(xué)完可以進(jìn)去了吧。

1.

今天的第一個內(nèi)容說一下web開發(fā)模式，今天基本就是講一個身份認(rèn)證的內(nèi)容，我們的web開發(fā)模式呢分為兩種，一種是服務(wù)器渲染模式，就是通過服務(wù)器進(jìn)行一個字符串拼接，將html頁面拼接出來，然后直接返回給客戶端，這樣一來就不需要我們的ajax了，直接給客戶端就可以了，他的優(yōu)點呢就是前端耗時少，畢竟都給服務(wù)器做了還有前端什么事，還有他也有利于seo優(yōu)化，他的缺點就是占用服務(wù)器資源，而且不利于前后端分離開發(fā)效率低。

第二個模式：前后端分離的模式，它是依賴于ajax的一個廣泛應(yīng)用，后端負(fù)責(zé)編寫api接口，前端就負(fù)責(zé)調(diào)用接口就完事了。他的一個優(yōu)點就是開發(fā)體驗好、畢竟前后端分離，用戶體驗也好，也減輕了服務(wù)器的壓力。

但是缺點就是不利于seo的優(yōu)化。

2

然后我們進(jìn)入身份認(rèn)證、

什么事身份認(rèn)證？

通過一定的手段對用戶身份進(jìn)行確認(rèn)的方式。

服務(wù)器渲染開發(fā)用的就是session認(rèn)證，而我們的前后端分離用的就是jwt認(rèn)證，兩者都各有各的優(yōu)點誰也不讓誰。

3.

先來說下session吧

首先了解一下http無狀態(tài)性，就是指客戶端每次的http請求都是獨立的，連續(xù)多個請求間沒有直接關(guān)系，服務(wù)器也不會主動保留每次http請求狀態(tài)（就像收銀員他能記住每個來的客戶是會員嗎？）

突破無狀態(tài)限制。

超市突破這種限制的方式就是給每個會員發(fā)會員卡是吧，在我們web領(lǐng)域這種方式就是cookie。

cookie，是存儲在用戶瀏覽器一段不超過4kb的字符串，它是由name、value以及有效期。安全性，適用范圍的可選屬性組成，在不同的域名下，我們的cookie是各自獨立的，每當(dāng)客戶端發(fā)起請求，會自動把當(dāng)前域名下的所有cookie發(fā)給服務(wù)器，注意只是當(dāng)前域名下。

他的特性就是：自動發(fā)送、域名獨立、過期時限、4kb限制

3.1

cookie在身份認(rèn)證中的作用

當(dāng)我們客戶端第一次請求服務(wù)器的時候，服務(wù)器會通過響應(yīng)頭向客戶端發(fā)送一個身份認(rèn)證的cookie，我們的瀏覽器就會把這個cookie存儲起來，當(dāng)我們下一次 請求的時候，就會直接發(fā)送這個cookie也就是前面說的會自動發(fā)送，即可證明身份。

要注意我們的cookie是不具有安全性的，瀏覽器還提供了讀寫cookie的api，所以cookie很容易被偽造，就像我們的會員卡也有偽造的一樣。所以不要用cookie存儲重要數(shù)據(jù)，包括我們jwt也不能存后面會說到。

3.2

那么有沒有方法來提高我們cookie的安全性呢？

那就是session認(rèn)證，就好比我們的會員卡?刷卡的機制就能破除偽造卡了。

session認(rèn)證機制：

首先我們的客戶端登錄賬號密碼發(fā)送了登錄請求，服務(wù)器會開始驗證，當(dāng)驗證成功后，會將其存儲在服務(wù)器的內(nèi)存中，同時通過響應(yīng)頭返回一個對應(yīng)的cookie字符串，我們的瀏覽器就會把這個字符串保存在當(dāng)前域名下，當(dāng)我們再次請求的時候，就會把域名下所有cookie一起發(fā)送服務(wù)器，服務(wù)器就會去找對只對應(yīng)的cookie匹配成功就能找到你信息了，然后就認(rèn)證成功了

3.3

說了這么多怎么來再服務(wù)器端使用我們的sesson，首先安裝導(dǎo)入兩部曲然后還需要配置，注意配置是固定寫法，secret是可以為任意字符串的。

配置過后就可以用req.session來訪問session對象了，將我們的一些數(shù)據(jù)用sessin存儲起來，然后登陸成功又可以通過session取出來，當(dāng)我們退出登錄還可以。destroy方法清空session，注意只是清空這個賬戶信息，不會清空別人的信息，具體代碼如下：

注意看todo也就是我們要做的

// 導(dǎo)入 express 模塊
const express = require('express')
// 創(chuàng)建 express 的服務(wù)器實例
const app = express()

// TODO_01：請配置 Session 中間件
const session = require('express-session')
app.use(session({
  secret :'mySession',
  resave :'false',
  saveUninitiallized:'ture'
}))

// 托管靜態(tài)頁面
app.use(express.static('./pages'))
// 解析 POST 提交過來的表單數(shù)據(jù)
app.use(express.urlencoded({ extended: false }))

// 登錄的 API 接口
app.post('/api/login', (req, res) => {
// 判斷用戶提交的登錄信息是否正確
  if (req.body.username !== 'admin' || req.body.password !== '000000') {
return res.send({ status: 1, msg: '登錄失敗' })
  }

// TODO_02：請將登錄成功后的用戶信息，保存到 Session 中
  // 注意只有當(dāng)上面配置了session之后才能夠使用req.session這個對象
  req.session.user = req.body // 用戶信息
  req.session.islogin = true // 用戶的登錄狀態(tài)


  res.send({ status:0, msg: '登錄成功' })
})

// 獲取用戶姓名的接口
app.get('/api/username', (req, res) => {
// TODO_03：請從 Session 中獲取用戶的名稱，響應(yīng)給客戶端
  // 判斷是否登錄成功
  if(!req.session.islogin) {
return res.send({status:1, msg:'fail'})
  }
// 登錄成功即可響應(yīng)數(shù)據(jù)
  return res.send({
    status :0,
    msg :'success',
    username : [req.session.user.username]
  })
})

// 退出登錄的接口
app.post('/api/logout', (req, res) => {
// TODO_04：清空 Session 信息
  req.session.destroy()
  res.send({
    status :0,
    msg :'退出登錄成功'
  })
})

// 調(diào)用 app.listen 方法，指定端口號并啟動web服務(wù)器
app.listen(80, function () {
  console.log('Express server running at http://127.0.0.1:80')
})

名稱欄目：node.js -- 身份認(rèn)證
文章網(wǎng)址：http://www.jiaotiyi.com/article/dsojpho.html