Node学习-第六章-express中间件与RESful API接口规范(下)
express 学习
工具模块-utils文件夹
- mod5.js
md5 加密方式, 使用的是node内置中间件,crypto。
node内置 crypto模块提供加密功能,其中包括一组用于OpenSSL的散列、HMAC、加密、解密、签名和验证功能的包装器。
md5加密优化:
1. 明文加入前缀 实现加密增强
2. 明文需要复杂
createHash()方法用于创建Hmac实例。HMAC对象不能直接使用new关键字创建。
HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写
使用hmac.update()计算所有传递数据的HMAC摘要。编码可以是’hex’、‘latin
1’或’base64’。如果提供了编码,则返回字符串;否则返回Buffer;
const crypto = require('crypto');
var d = crypto.createHash('md5').update('by'+'121').digest('hex');
console.log('d', d);
module.exports = (str) => {
return crypto
.createHash('md5')
.update('by'+str)
.digest('hex');
}
express 使用md5加密的信息, 调取时是否需要解密 ?
在使用MD5加密存储用户密码的Express应用中,调取时不需要解密。
MD5是一种不可逆的加密算法,意味着一旦数据被MD5加密,就无法直接解密还原成原始数据。在Express框架中,如果用户密码是通过MD5加密后存储在数据库中的,那么在后续的调取过程中,不需要进行解密操作。这是因为MD5加密的特性决定了它只能用于单向验证,即通过输入明文密码与数据库中存储的加密密码进行比对,来验证用户输入的密码是否正确。
- jwt.js
使用第三方包jsonwebtoken。
访问官网: jsonwebtoken,并且找到你当前项目语言支持的版本。
$ npm install jsonwebtoken
使用说明:
- jwt.sign(payload,secretOrPrivateKey,[options,callback])
返回值说明:
(异步调用)如果提供了回调,则使用err或JWT调用回调。
(同步调用)以字符串形式返回JsonWebToken
参数说明:
1.payload可以是一个对象文字,缓冲区或字符串表示有效的JSON。
2.secretOrPrivateKey是字符串(utf-8编码)、缓冲区、对象或KeyObject,其中包含HMAC算法或PEM的秘密 RSA和ECDSA的加密私钥。
3.options 配置项,常用配置项,expiresIn 过期时间 120,“2 days”,“10h”,“7d”。(“120"等于"120ms”)algorithm 指定加密算法,默认HMAC SHA256。 - jwt.verify(token,secretOrPublicKey,[options,callback])
返回值说明:
(异步调用)如果提供了回调,则函数异步操作。如果签名有效并且可选的过期、受众或颁发者有效,则使用解码的有效负载调用回调。如果没有,它将被调用并返回错误。
(同步调用)如果没有提供回调函数,则函数同步动作。如果签名有效并且可选的过期、访问者或颁发者有效,则返回解码的有效负载。如果没有,它将抛出错误。
参数说明:
1.token是JsonWebToken字符串
2.secretOrPublicKey是一个字符串(utf-8编码)、缓冲区或KeyObject,其中包含HMAC算法的秘密或PEM RSA和ECDSA的加密公钥。
3.optio配置项
受众 audience如果你想检查观众(aud),在这里提供一个值。可以针对字符串、正则表达式或字符串和/或正则表达式的列表来检查受众,
签发人 issuer(可选):iss字段的有效值字符串或字符串数组。 - util.promisify()
Nodejs 8 有一个新的工具函数 util.promisify()。他将一个接收回调函数参数的函数转换成一个返回Promise的函数。
const { error } = require('console');
const jwt = require('jsonwebtoken');
// var token = jwt.sign({fool: 'hellow'}, '555')
// console.log(token)
// const jmtoken = jwt.verify('eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb29sIjoiaGVsbG93IiwiaWF0IjoxNzIwNjg1OTAwfQ.iz4u9FGgcDPRF41xLGxTBVTV6vWkKJQJ3d0tCteCISI', '555')
// console.log('jmtoken', jmtoken);
// 解析token 会自动生成时间戳字段:“iat”
const {promisify} = require('util');
const tojwt = promisify(jwt.sign);
const verify = promisify(jwt.verify);
const {uuid} = require('../config/config.default');
// 创建token
module.exports.creatToken = async (obj)=>{
const token = await tojwt(
{obj}, // 加密对象
uuid,
{
expiresIn: '1h'
} // 过期时间
)
return token;
}
// token校验
module.exports.verifyToken = async (req, res, next)=>{
const header = req.headers;
console.log('header', header)
let token = header?.authorization || '';
token = token ? token.split('Bearer ')[1] : ''; // 获取token
if(!token){
res.status(402).json({
error: '请传入token'
})
}
try {
console.log('uuid', uuid)
const objToken = await verify(token, uuid); // 解析token
req.user = objToken; // 把正确有效的token信息放入请求体user
next() //
} catch (error) {
res.status(402).json({
error: '无效token'
})
}
}
业务处理模块- controlled文件夹
user.js
- 用户注册
const { User } = require('../model/index');
exports.register = async (req, res)=>{
console.log(222);
const userModel = new User(req.body);
// 保存数据集合
const dbback = await userModel.save();
let user = dbback.toJSON();
// 不给客户端查看用户密码
delete user.password;
// 返回给客户端注册成功
res.status(201).json(user);
}
- 查询列表
exports.list = async (req, res)=>{
console.log(22222222, req.user);
res.send('/list');
}
- 用户登陆
1.客户端验证数据格式校验middle validator(在路由配置中处理)
2.链接数据库查询 邮箱和密码校验
exports.login = async (req, res)=>{
// 1.客户端验证数据格式校验middle validator
// 2.链接数据库查询 邮箱和密码校验
let dbback = await User.findOne(req.body);
if(!dbback) {
res.status(402).json({
error: "用户名密码不配"
})
}
dbback = dbback.toJSON();
dbback.token = await creatToken(dbback);
res.status(200).json(token);
}
JWT
-
JSON Web Token 是目前最流行的跨域认证解决方案
-
用户认证的一般流程:
1.客户端向服务器发送账号和密码。
2.服务器通过验证后在当前对话session中存放用户数据信息。
3.服务器向用户端返回session_id 写入用户的cookie。
4.客户端之后所有需要登录之后才能访问的请求都必须要携带 已经写入session_id的cookie,访问服务端。
5.服务器拿到session_id 进行校验得知用户是否登录或者是否登录过期。 -
一般流程的缺点: 无法实现不同域名网站的跨站登录
-
解决方案:JWT方案——服务器不保存 session_id 数据,所有数据都保存在客户端,每次请求都发回服务器.
-
JWT方案原理:
- 服务器认证以后,生成一个 JSON 对象,发回给用户。例子:
{
“name”: “Alen”,
“roll”: “admin”,
“carrentTime”: “2001-10-10 21:20:00”
} - 用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份,
- 为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名
- 服务器认证以后,生成一个 JSON 对象,发回给用户。例子:
-
JWT有三个部分:Header(头部)、Payload(负载)、Signature(签名)
Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用”点”(.)分隔
实际写法:Header.Payload.Signature
1.header是json对象
{
"alg": "HS256", //签名的算法(algorithm) 默认是 HMAC SHA256(写成 HS256)
"typ": "JWT" typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
}
2.Payload也是json对象
{
// 内置可选字段
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
// 自定义字段
}
3. Header 和 Payload 串型化的算法是 Base64URL
4. Signature 部分是对前两部分的签名,防止数据篡改, secret 为服务器指定的密钥
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
7.解决跨域
客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。 Authorization: Bearer + token
另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。
原文地址:https://blog.csdn.net/qq_33295794/article/details/140456273
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!