基于Express的Session、JWT认证机制

原创

已于 2022-06-07 17:47:49 修改 · 955 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#前端 #爬虫 #javascript

于 2022-05-25 12:39:28 首次发布

本文介绍了Web开发模式，包括服务端渲染与前后端分离的区别及优缺点，并详细讲解了身份认证的重要性和不同认证机制，如Session和JWT的工作原理及其在Express中的应用。

文章目录

第一章、Web 开发模式

1.1、服务端道染的传统Web开发模式

1）服务端渲染的概念：

服务器发送给客户端的HTML页面，是在服务器通过字符串的拼接，动态生成的。因此，客户端不需要使用Ajax这样的技术额外请求页面的数据。

2）优缺点

优点：

①前端耗时少。因为服务器端负责动态生成HTML内容，浏览器只需要直接渲关闭。尤其是移动端，更省电。

②有利于SEO。因为服务器端响应的是完整的HTML页面内容，所以爬虫更容易爬取获得信息，更有利于SEO。

缺点：

①占用服务器端资源。即服务器端完成HTML页面内容的拼接，如果请求较多，会对服务器造成一定的访问压力。

②不利于前后端分离，开发效率低。使用服务器端渲染，则无法进行分工合作，尤其对于前端复杂度高的项目，不利于项目高效开发。

1.2、前后端分离的新型Web开发模式

1）前后端分离的概念：

依赖于Ajax技术的广泛应用。简而言之，前后端分离的Web开发模式，就是后端只负责提供API接口，前端使用Ajax调用接口的开发模式。

2）优缺点

优点：

①开发体验好。前端专注于UI页面的开发，后端专注于api的开发，且前端有关闭择性。

②用户体验好。Ajax技术的广泛应用，极大的提高了用户的体验，可以轻松实现页面的局部刷新。

③减轻了服务器端的渲染压力。因为页面最终是在每个用户的浏览器中生成的。

缺点：

①不利于SEO。因为完整的HTML页面需要在客户端动态拼接完成，所以爬虫对无法爬取页面的有效信息。（解决方案：利用Ve、React 等前端框架的SSR（server side render）技术能够很好的解决SEO问题！）

第二章、身份认证

2.1、身份认证

身份认证（Authentication）又称“身份验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。

在Web开发中，也涉及到用户身份的认证，例如：各大网站的手机验证码登录、邮箱密码登录、二维码登录等。

2.2、为何要身份认证

2.3、不同开发模式下的身份认证

对于服务端道染和前后端分离这两种开发模式来说，分别有着不同的身份认证方案：

①服务端渲染推荐使用Session认证机制

②前后端分离推荐使用JWT 认证机制

第三章、Session认证机制

3.1、HTTP协议的无状态性

了解HTTP协议的无状态性是进一步学习Session认证机制的必要前提。

HTTP协议的无状态性，指的是客户端的每次HTTP请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次HTTP请求的状态。

3.2、如何突破HTTP无状态的限制

使用Cookie技术

3.3、什么是Cookie

Cookie 是存储在用户浏览器中的一段不超过4KB的字符串。它由一个名称（Name）、一个值（Value）和其它几个用于控制 Cookie有效期、安全性、使用范围的可选属性组成。

不同域名下的Cookie各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的Cookie一同发送到服务器。

Cookie的几大特性：

①自动发送

②域名独立

③过期时限

④4KB限制

3.4、Cookie在身份认证中的作用

客户端第一次请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的 Cookie，客户端会自动将Cookie保存在浏览器中。

随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证相关的Cookie，通过请求头的形式发送给

3.5、Cookie不具有安全性

由于Cookie是存储在浏览器中的，而且浏览器也提供了读写 Cookie的APl，因此Cookie很容易被伪造，不具有安全性。因此不建议服务器将重要的隐私数据，通过Cookie的形式发送给浏览器。

注意：千万不要使用Cookie 存储重要且隐私的数据！比如用户的身份信息、密码等。

3.6、提高身份认证的安全性

这种“会员卡+刷卡认证”的设计理念，就是Session 认证机制的精髓。

3.7、Session的工作原理

登录成功后，用户登录信息存储在服务器的内存中，同时生成Cookie字符串

第四章、在Express中使用Session 认证

4.1、安装express-session中间件

在Express项目中，只需要安装express-session中间件，可在项目中使用Session认证

npm install express-session

4.2、配置 express-session中间件

通过app.use()来注册 session中间件，

4.3、向session中存数据

当express-session中间件配置成功后，即可通过req.session来访问和使用session对象，从而存储用户的关键信息：

4.4、从session中取数据

4.5、清空session

req.session.destory()

const express = require('express')
const app = express()
var session = require('express-session')
app.use(session({
   
      //1、配置 express-session中间件
  secret:'wl',   //负责对session加密
  resave:false,
  saveUninitialized:true
}))
app.use(express.static('../public'))
app.post('/api/login',(req,res)=>{
   
   
  if(req.body.username !== 'admin' || req.body.password !== '000000'){
   
   
    return res.send({
   
   status:1,msg:'登录失败'})
  }
  req.session.user = req.<