Session认证机制中需要配合cookie才能实现，由于cookie默认不支持跨域访问，当涉及到前端跨域请求后端接口时，需要做很多额外的配置，才能实现跨域session认证。所以这里不推荐使用session身份认证机制，一般推荐使用jwt认证。

目录

一、JWT的概念

二、JWT工作原理

 三、JWT的组成部分

四、JWT的使用方式

五、在express中使用JWT

1.安装JWT相关的包

2.导入JWT相关的包

3.定义secret密钥

4.在登录成功后生成jwt字符串

5.将jwt字符串还原为JSON对象

 6.使用req.user获取用户信息

---

一、JWT的概念

JWT（英文全称：JSON Web Token）是目前最流行的跨域认证解决方案。

二、JWT工作原理

用户的信息通过token字符串的形式，保存在客户端浏览器中，服务器通过还原token字符串的形式来认证用户的身份。

 三、JWT的组成部分

jwt通常由三部分组成，分别是header（头部）、payload（有效荷载）、signature（签名），三者之间使用英文的“.”分隔，格式如下：

header.payload.signature

payload	是真正的用户信息，它是用户信息经过加密之后生成的字符串
header、signature	是安全性相关的部分，只是为了保证token的安全性

四、JWT的使用方式

客户端收到服务器返回的JWT之后，通常会将它储存在 localStorage 或 sessionStorage 中，此后，客户端每次与服务器通信，都要带上这个JWT 的字符串，从而进行身份认证。推荐的做法是把 JWT 放在 HTTP请求头的 Authorization 字段中格式如下:

Authorization:Bearer<token>

五、在express中使用JWT

1.安装JWT相关的包

运行如下命令，安装如下两个JWT相关的包：

npm i jsonwebtoken express-jwt

jsonwebtoken:用于生成JWT字符串；

express-jwt:用于将JWT字符串解析还原成JSON对象。

2.导入JWT相关的包

使用require()函数，分别导入JWT相关的两个包：

//导入用于生成jwt字符串的包
const jwt = require('jsonwebtoken')
//导入用于将客户端发送过来的jwt字符串，解析还原成JSON对象的包
const expressJwt = require('express-jwt')

3.定义secret密钥

为了保证jwt字符串的安全性，防止jwt字符串在网络传输中被别人破解，我们需要专门定义一个用于加密和解密的secret密钥：

• 当生成jwt字符串的时候，需要使用secret密钥对用户信息进行加密，最终得到加密好的jwt字符串；
• 当把jwt字符串解析还原成JSON对象的时候，需要使用secret密钥进行解密；

//设置密钥
const secret = '123456'

4.在登录成功后生成jwt字符串

调用jsonwebtoken包提供的sign()方法，将用户的信息加密成jwt字符串，响应给客户端：

//登录接口
app.post('/api/login', (req, res) => { //省略登录失败情况下的代码//用户登录成功之后，生成jwt字符串，通过token属性响应给客户端res.send({code: 200,message: 'success',//调用jwt.sign方法生成token字符串token:jwt.sign({username:userinfo.username}, secret, {expiresIn: '1h'})})
})

5.将jwt字符串还原为JSON对象

 客户端每次在访问那些有权限接口的时候，都需要主动通过请求头中的 Authorization 字段，将 Token 字符串发送到服务器进行身份认证。此时，服务器可以通过 express-jwt 这个中间件，自动将客户端发送过来的 Token 解析还原成 JSON 对象：

//使用app.use()来注册中间件
//expressJwt({secret: secret})就是用来解析token的中间件
//.unless({path:[/^\/api\//]})用来指定那些接口不需要那些接口不需要访问权限
app.use(expressJwt({secret: secret}).unless({path:[/^\/api\//]}))

 6.使用req.user获取用户信息

当express-jwt这个中间件配置成功之后，即可在哪些有权限的接口中，使用req.user对象，来访问从jwt字符串中解析出来的用户信息了，示例代码如下：

//这是一个有权限的接口
app.get('/api/protected', (req, res) => { //使用req.auth获取用户信息，并使用data属性将用户信息发送给客户端res.send({code: 200,message: 'success',data: req.auth})
})