后端服务提供的接口应该是有时限和权限的,所以一般通过 token 进行用户权限的校验。
通过 egg-jwt 插件生成 token。
npm i --save egg-jwt
在 plugin.js 中配置 egg-jwt 插件。
module.exports = {
jwt: {
enable: true,
package: 'egg-jwt'
},
};
在 config.default.js 中设置 jwt 相关内容,同时因为部分接口不需要校验 token,故在此处同时设置白名单。
// 添加jwt的配置
config.jwt = {
secret: 'Jian1', // 加密密钥
sign: {
expiresIn: 60 * 60 * 24, // 过期时间24小时
algorithm: 'HS256'
}
}
// 添加token白名单配置
config.tokenWhiteList = [
'/login',
'/verifyCode',
]
生成 token 的动作一般在调用 login 接口的时候进行,通过 login 接口将 token 传递给前端,一般保存在 localStore 中。
const token = app.jwt.sign(params, app.config.jwt.secret);
ctx.state = 200;
ctx.body = {
code: 200,
success: true,
data: {token: token},
msg: '欢迎回来,' + userInfo.name,
show: true
}
egg框架存在 中间件(middleware) 非常适合全局性质的拦截和校验。
创建 app/middleware/tokenAuth.js 文件。
module.exports = () => {
return async function (ctx, next) {
const requestUrl = ctx.request.url;
if (ctx.app.config.tokenWhiteList.indexOf(requestUrl) > -1) {
// 当前路由在白名单中
await next();
return;
}
const userToken = ctx.request.headers['authorization'].replace(/^Bearer\s+/, '');
if (userToken) {
try {
ctx.app.jwt.verify(userToken, ctx.app.config.jwt.secret);
await next();
} catch (e) {
ctx.status = 401;
return ctx.body = {
code: 401,
msg: 'token错误'
}
return;
}
} else {
ctx.status = 401;
return ctx.body = {
code: 401,
msg: 'token不存在'
}
return;
}
}
}
token 是比较重要的校验方式,但是需要注意的是常规来说:
前端传递 token 的时候需要加上 "Bearer "。
后端解析的时候需要去除 "Bearer "。
这里涉及到的其实是 W3C 的规范,请求头 Authorization 验证身份的时候遵守的格式是 Authorization: <type> <credentials>。
注意:这里前端不增加 "Bearer " 也是可以调通的,但是加上最好,原因是框架使然。详情可以参阅官方文档。