自学内容网 自学内容网

Node学习-第六章-express中间件与RESful API接口规范(下)

express 学习

工具模块-utils文件夹

  1. mod5.js
    md5 加密方式, 使用的是node内置中间件,crypto。
    node内置 crypto模块提供加密功能,其中包括一组用于OpenSSL的散列、HMAC、加密、解密、签名和验证功能的包装器。
    md5加密优化:
    1. 明文加入前缀 实现加密增强
    2. 明文需要复杂

createHash()方法用于创建Hmac实例。HMAC对象不能直接使用new关键字创建。

HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写

使用hmac.update()计算所有传递数据的HMAC摘要。编码可以是’hex’、‘latin
1’或’base64’。如果提供了编码,则返回字符串;否则返回Buffer;

const crypto = require('crypto'); 
var d = crypto.createHash('md5').update('by'+'121').digest('hex');
console.log('d', d);
module.exports = (str) => {
 return  crypto
 .createHash('md5')
 .update('by'+str)
 .digest('hex');
}

express 使用md5加密的信息, 调取时是否需要解密 ?
在使用MD5加密存储用户密码的Express应用中,‌调取时不需要解密。‌
MD5是一种不可逆的加密算法,‌意味着一旦数据被MD5加密,‌就无法直接解密还原成原始数据。‌在Express框架中,‌如果用户密码是通过MD5加密后存储在数据库中的,‌那么在后续的调取过程中,‌不需要进行解密操作。‌这是因为MD5加密的特性决定了它只能用于单向验证,‌即通过输入明文密码与数据库中存储的加密密码进行比对,‌来验证用户输入的密码是否正确。‌

  1. jwt.js
    使用第三方包jsonwebtoken。
    访问官网: jsonwebtoken,并且找到你当前项目语言支持的版本。
$ npm install jsonwebtoken

使用说明:

  1. jwt.sign(payload,secretOrPrivateKey,[options,callback])
    返回值说明:
    (异步调用)如果提供了回调,则使用err或JWT调用回调。
    (同步调用)以字符串形式返回JsonWebToken
    参数说明:
    1.payload可以是一个对象文字,缓冲区或字符串表示有效的JSON。
    2.secretOrPrivateKey是字符串(utf-8编码)、缓冲区、对象或KeyObject,其中包含HMAC算法或PEM的秘密 RSA和ECDSA的加密私钥。
    3.options 配置项,常用配置项,expiresIn 过期时间 120,“2 days”,“10h”,“7d”。(“120"等于"120ms”)algorithm 指定加密算法,默认HMAC SHA256。
  2. jwt.verify(token,secretOrPublicKey,[options,callback])
    返回值说明:
    (异步调用)如果提供了回调,则函数异步操作。如果签名有效并且可选的过期、受众或颁发者有效,则使用解码的有效负载调用回调。如果没有,它将被调用并返回错误。
    (同步调用)如果没有提供回调函数,则函数同步动作。如果签名有效并且可选的过期、访问者或颁发者有效,则返回解码的有效负载。如果没有,它将抛出错误。
    参数说明:
    1.token是JsonWebToken字符串
    2.secretOrPublicKey是一个字符串(utf-8编码)、缓冲区或KeyObject,其中包含HMAC算法的秘密或PEM RSA和ECDSA的加密公钥。
    3.optio配置项
    受众 audience如果你想检查观众(aud),在这里提供一个值。可以针对字符串、正则表达式或字符串和/或正则表达式的列表来检查受众,
    签发人 issuer(可选):iss字段的有效值字符串或字符串数组。
  3. util.promisify()
    Nodejs 8 有一个新的工具函数 util.promisify()。他将一个接收回调函数参数的函数转换成一个返回Promise的函数。
const { error } = require('console');
const jwt = require('jsonwebtoken');
// var token = jwt.sign({fool: 'hellow'}, '555')
// console.log(token)
// const jmtoken =  jwt.verify('eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb29sIjoiaGVsbG93IiwiaWF0IjoxNzIwNjg1OTAwfQ.iz4u9FGgcDPRF41xLGxTBVTV6vWkKJQJ3d0tCteCISI', '555')
// console.log('jmtoken', jmtoken);
// 解析token 会自动生成时间戳字段:“iat”
const {promisify}  = require('util');
const tojwt = promisify(jwt.sign);
const verify = promisify(jwt.verify);
const {uuid} = require('../config/config.default');
// 创建token
module.exports.creatToken = async (obj)=>{
  const token = await tojwt(
    {obj},  // 加密对象
    uuid,
    {
      expiresIn: '1h'
    } // 过期时间
  )
  return token;
}
// token校验
module.exports.verifyToken = async (req, res, next)=>{
  const header = req.headers;
  console.log('header', header)
  let token = header?.authorization || '';
  token = token ? token.split('Bearer ')[1] : ''; // 获取token
  if(!token){
    res.status(402).json({
      error: '请传入token' 
    })
  }
  try {
    console.log('uuid', uuid)
    const objToken = await verify(token, uuid); // 解析token
    req.user = objToken; // 把正确有效的token信息放入请求体user
    next() // 
  } catch (error) {
    res.status(402).json({
      error: '无效token'
    })
  }
}

业务处理模块- controlled文件夹

user.js

  1. 用户注册
const { User } = require('../model/index');
exports.register = async (req, res)=>{
  console.log(222);
  const userModel =  new User(req.body);
  // 保存数据集合
  const dbback = await userModel.save();
  let user = dbback.toJSON();
  // 不给客户端查看用户密码
  delete user.password;
  // 返回给客户端注册成功
  res.status(201).json(user);
}
  1. 查询列表
exports.list =  async (req, res)=>{
  console.log(22222222, req.user); 
  res.send('/list');
}
  1. 用户登陆
    1.客户端验证数据格式校验middle validator(在路由配置中处理)
    2.链接数据库查询 邮箱和密码校验
exports.login = async (req, res)=>{
  // 1.客户端验证数据格式校验middle validator
  // 2.链接数据库查询 邮箱和密码校验
  let dbback  = await  User.findOne(req.body);
  if(!dbback) {
    res.status(402).json({
      error: "用户名密码不配"
    })
  }
  dbback = dbback.toJSON();
  dbback.token = await creatToken(dbback);
  res.status(200).json(token);
}

JWT

  1. JSON Web Token 是目前最流行的跨域认证解决方案

  2. 用户认证的一般流程:
    1.客户端向服务器发送账号和密码。
    2.服务器通过验证后在当前对话session中存放用户数据信息。
    3.服务器向用户端返回session_id 写入用户的cookie。
    4.客户端之后所有需要登录之后才能访问的请求都必须要携带 已经写入session_id的cookie,访问服务端。
    5.服务器拿到session_id 进行校验得知用户是否登录或者是否登录过期。

  3. 一般流程的缺点: 无法实现不同域名网站的跨站登录

  4. 解决方案:JWT方案——服务器不保存 session_id 数据,所有数据都保存在客户端,每次请求都发回服务器.

  5. JWT方案原理:

    1. 服务器认证以后,生成一个 JSON 对象,发回给用户。例子:
      {
      “name”: “Alen”,
      “roll”: “admin”,
      “carrentTime”: “2001-10-10 21:20:00”
      }
    2. 用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份,
    3. 为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名
  6. JWT有三个部分:Header(头部)、Payload(负载)、Signature(签名)

Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用”点”(.)分隔
实际写法:Header.Payload.Signature
  1.header是json对象
  {
    "alg": "HS256", //签名的算法(algorithm) 默认是 HMAC SHA256(写成 HS256)
    "typ": "JWT" typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
  }
  2.Payload也是json对象
  {
  // 内置可选字段
    iss (issuer):签发人
    exp (expiration time):过期时间
    sub (subject):主题
    aud (audience):受众
    nbf (Not Before):生效时间
    iat (Issued At):签发时间
    jti (JWT ID):编号
    // 自定义字段
  }
  3. Header 和 Payload 串型化的算法是 Base64URL
  4. Signature  部分是对前两部分的签名,防止数据篡改, secret 为服务器指定的密钥
    HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

7.解决跨域
客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。 Authorization: Bearer + token
另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。


原文地址:https://blog.csdn.net/qq_33295794/article/details/140456273

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!