一、安装包文件
npm install jsonwebtoken --save
二、通过jsonwebtoken可以创建token
const jwt = require('jsonwebtoken')
// 创建token
let token = jwt.sign(obj,secret,opt)
//解码token
let payload = jwt.verify(token,secret)实现思路
login处理
当我们收到前台传来的帐号密码查库比对通过后,创建token并返回客户端
const police = require("../../../model/police");
const jwt = require('jsonwebtoken')
let myPolice = new police();
let {secret} = require('../../../util/secret.js')
async function login(ctx, next) {
let postData = ctx.request.body
let selectResult = await myPolice.checkLogin(postData)
if (selectResult.err) {
ctx.body = {
status: 1,
message: err
}
} else if (!selectResult.result) {
ctx.body = {
status: 1,
message: '用户不存在'
}
} else if (selectResult.result[0].password !== postData.password) {
ctx.body = {
status: 1,
message: '密码错误'
}
} else {
// 帐号密码正确 创建token
//payload中写入一些值 time:创建日期 timeout:多长时间后过期
let payload = {userNumber:postData.userNumber,time:new Date().getTime(),timeout:1000*60*60*2}
let token = jwt.sign(payload, secret);
ctx.body = {
status: 0,
message: '登录成功',
data:{
token
}
}
}
}
module.exports = loginPayload参数说明
iss: 签发者
sub: 面向用户
aud: 接收者
iat(issued at): 签发时间
exp(expires): 过期时间
nbf(not before):不能被接收处理时间,在此之前不能被接收处理
jti:JWT ID为web token提供唯一标识
例如
{"sub":"subject","aud":"sina.com","iss":"baidu.com","iat":1528360628,"nbf":1528360631,"jti":"253e6s5e","exp":1528360637}jwt.sign(object,key)说明
两个参数分别是签名算法和自定义的签名Key(盐)。签名key可以byte[] 、String及Key的形式传入。前两种形式均存入builder的keyBytes属性,后一种形式存入builder的key属性。如果是第二种(及String类型)的key,则将其进行base64解码获得byte[] 。
三、如何进行token校验
1、创建checkToken.js文件的中间件
1、token解密方法一
const jwt = require('jsonwebtoken')
async function check(ctx, next) {
let url = ctx.url.split('?')[0]
// 如果是登陆页面和注册页面就不需要验证token了
if (url === '/admin/user/login' || url === '/admin/user/register') {
await next()
} else {
// 否则获取到token
let token = ctx.request.headers["authorization"]
if (token) {
// 如果有token的话就开始解析
const tokenItem = jwt.verify(token, 'token')
// 将token的创建的时间和过期时间结构出来
const { time, timeout } = tokenItem
// 拿到当前的时间
let data = new Date().getTime();
// 判断一下如果当前时间减去token创建时间小于或者等于token过期时间,说明还没有过期,否则过期
if (data - time <= timeout) {
// token没有过期
await next()
} else {
ctx.body = {
status: 405,
message:'token 已过期,请重新登陆'
}
}
}
}
}
module.exports = checkToken2、token解密方法二
const Promise = require("bluebird");
const jwt = require("jsonwebtoken");
const verify = Promise.promisify(jwt.verify);
let { secret } = require("../util/secret");
async function check(ctx, next) {
let url = ctx.request.url;
// 登录 不用检查
if (url == "/users/login") await next();
else {
// 规定token写在header 的 'autohrization'
let token = ctx.request.headers["authorization"];
// 解码
let payload = await verify(token,secret);
let { time, timeout } = payload;
let data = new Date().getTime();
if (data - time <= timeout) {
// 未过期
await next();
} else {
//过期
ctx.body = {
status: 50014,
message:'token 已过期'
};
}
}
}
module.exports = check四、在app.js入口中注册使用
const checkToken = require('./middleware/checkToken.js')
// 验证token的中间件函数
app.use(checkToken)