一. 使用插件
1. NodeJs自带的加密插件:crypto
文档:https://nodejs.org/api/crypto.html
可以用来将用户密码加密再存入数据库
// 随机生成加密token的密匙,用于jwt加密密匙 let tokenSecret = crypto.randomBytes(16).toString('hex'),
2. 用于生成token的插件:jwt-simple
文档:https://www.npmjs.com/package/jwt-simple
// 此方式当密钥不对会解码失败得到的值为undefined,可以判断前端传来的token是无效的 try { var decoded = jwt.decode(token, tokenSecret); } catch (error) { console.log(error); //=> 输出:Signature verification failed } console.log(decoded); //=> 输出:用户信息 或者 undefined
二. 注册流程
1. 获得用户uid,可以直接使用账号名,但是要保证唯一性。用户密码需要加密之后再存入数据库
2. 生成新的token(token含用户id加上密钥通过加密算法生成)
3. 查询数据库是否已经存在此用户,如果已存在通知前端告知用户已注册
4. 否则将用户信息,加密密码,token,token过期时间存入数据库
三. 登录流程
1. 获得用户uid,用户密码
2. 生成新的token(token含用户id加上密钥通过加密算法生成)
3. 通过uid和密码查询数据库,如果找不到匹配的说明密码或者用户名错了,告诉前端提示用户
4. 否则找到匹配用户了,之后更新数据库token和token过期时间
5. 通过更新数据库的token返回结果通知用户是否登录成功
四. 验证token流程(方式很多,可以在生成token和设置token过期时间有诸多选择)
// 我采用生成的token密匙固定,token包含用户uid,token不重新登录永不过期,这样就不用判断token过期时间了 // token验证通过上面的jwt.decode此方式可以不用查询用户数据库(也是token存在的意义)
1. 通过前端传上来的token使用密钥进行解码,解码失败token无效,通知用户重新登录
2. 解码成功,查询数据库此用户信息
3. 判断token是否过期,过期验证失效
4. 没过期token验证成功