基于 Token 的身份验证方法_tokensecret

        毕设在做一个移动端的app，遇到了一个小问题，如何记住当前的登录状态。之前做过一个php的小demo，是用session实现的，功能是实现了，但是总感觉怪怪的，于是上网百度了一下，发现了一个基于 Token 的身份验证方法，大致浏览了一下，感觉挺不错的，于是就马上实现了一下。

使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：

1. 客户端使用用户名跟密码请求登录
2. 服务端收到请求，去验证用户名与密码
3. 验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端
4. 客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6. 服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数

流程很清晰了，下面来实现一下

首先，引包、

npm install jsonwebtoken --save

coding

const jwt = require('jsonwebtoken'); // token
const secret = 'IAMSECRET'; // 这里可以设置秘钥
 
let data = {
    userName: '测试'，
    admin: true
}; // 在这里可以定义一些token里的值
 
jwt.sign({token: 'test'}, secret, {'expiresIn': '1day'});
// 签发token, 说白了就是客户端需要保存的一大长串字符串，这里包含三个参数
// 1.playload：签发的 token 里面要包含的一些数据。
// 2.secret：签发 token 用的密钥，在验证 token 的时候同样需要用到这个密钥。
// 3.options：一些其它的选项。
 
jwt.verify(token, secret, (error, decoded) => {
    if (error) {
        doSomething();
        return;
    }
    doSomething();
});
// 这里是验证token的操作，通过接收前端传来的token和服务端秘钥验证token有效性

操作很简单，在我实际的应用中，因为我要实时的检测客户端的登录状态，所以大多数的操作我都需要验证token的有效性，于是，我们需要把验证的过程封装一下。

async function checkToken (data) { // 检查token有效性
  return new Promise(async (resolve, reject) => {
    let queryCriteria = {
      email: data.email
    };
    let findResult = await user.find(queryCriteria); // 查数据库
    if (findResult.length === 0) reject('邮箱未注册');
    else {
      jwt.verify(data.token, secret, (error, decoded) => {
        if (error) reject('登录失效');
        else if (!decoded.hasOwnProperty('email')) reject('登录失效'); // token中没有邮箱信息
        else if (decoded.email !== data.email) reject('登录失效'); // token中邮箱信息不符
        else resolve(true);
      });
    }
  });
}

        大体意思就是，我在token里放了用户的注册邮箱，然后每次我都会对前端传过来邮箱和token里存放的邮箱进行校验，如此，我们便能轻松愉快的解决校验问题。

        上述内容实际上只是对token运用的入门，在此只是与大家分享一下，token的作用和用法远比这些要复杂，需要静下心来仔细钻研。最后感谢这位大哥的的分享，通俗明了，大家有兴趣也可以阅读一下。https://ninghao.net/blog/2834