1����、Web 開發模式
目前主流的 Web 開發模式有兩種�����,分別是:
-
基于服務端渲染的傳統 Web 開發模式
-
基于前后端分離的新型 Web 開發模式
1.1��、服務端渲染的 Web 開發模式
服務端渲染的概念:服務器發送給客戶端的 HTML 頁面���,是在服務器通過字符串的拼接,動態生成的��。因此���,客戶端不需要使用 Ajax 這樣的技術額外請求頁面的數據��。代碼示例如下:
1.2�、服務端渲染的優缺點
優點:
-
前端耗時少�。因為服務器端負責動態生成 HTML 內容�����,瀏覽器只需要直接渲染頁面即可�。尤其是移動端���,更省電��。
-
有利于SEO�。因為服務器端響應的是完整的 HTML 頁面內容��,所以爬蟲更容易爬取獲得信息�,更有利于 SEO。
缺點:
-
占用服務器端資源���。即服務器端完成 HTML 頁面內容的拼接,如果請求較多���,會對服務器造成一定的訪問壓力��。
-
不利于前后端分離���,開發效率低��。使用服務器端渲染����,則無法進行分工合作�����,尤其對于前端復雜度高的項目�,不利于項目高效開發。
1.3�、前后端分離的 Web 開發模式
前后端分離的概念:前后端分離的開發模式,依賴于 Ajax 技術的廣泛應用��。簡而言之�,前后端分離的 Web 開發模式,就是后端只負責提供 API 接口�,前端使用 Ajax 調用接口的開發模式。
1.4��、前后端分離的優缺點
優點:
-
開發體驗好。前端專注于 UI 頁面的開發,后端專注于api 的開發����,且前端有更多的選擇性���。
-
用戶體驗好�。Ajax 技術的廣泛應用��,極大的提高了用戶的體驗����,可以輕松實現頁面的局部刷新。
-
減輕了服務器端的渲染壓力��。因為頁面最終是在每個用戶的瀏覽器中生成的���。
缺點:
不利于 SEO����。因為完整的 HTML 頁面需要在客戶端動態拼接完成��,所以爬蟲對無法爬取頁面的有效信息�。(解決方案:利用 Vue、React 等前端框架的 SSR (server side render)技術能夠很好的解決 SEO 問題?�。?/span>
1.5�、如何選擇 Web 開發模式
不談業務場景而盲目選擇使用何種開發模式都是耍流氓�。
-
比如企業級網站�,主要功能是展示而沒有復雜的交互�����,并且需要良好的 SEO��,則這時我們就需要使用服務器端渲染���;
-
而類似后臺管理項目�,交互性比較強��,不需要考慮 SEO����,那么就可以使用前后端分離的開發模式。
另外�����,具體使用何種開發模式并不是絕對的�,為了同時兼顧了首頁的渲染速度和前后端分離的開發效率,一些網站采用了首屏服務器端渲染 + 其他頁面前后端分離的開發模式�。
2、身份認證
2.1���、什么是身份認證
身份認證(Authentication)又稱“身份驗證”��、“鑒權”���,是指通過一定的手段����,完成對用戶身份的確認����。
-
日常生活中的身份認證隨處可見,例如:高鐵的驗票乘車����,手機的密碼或指紋解鎖,支付寶或微信的支付密碼等����。
-
在 Web 開發中,也涉及到用戶身份的認證�����,例如:各大網站的手機驗證碼登錄�����、郵箱密碼登錄�����、二維碼登錄等�����。
2.2����、為什么需要身份認證
身份認證的目的,是為了確認當前所聲稱為某種身份的用戶�,確實是所聲稱的用戶。例如��,你去找快遞員取快遞����,你要怎么證明這份快遞是你的。
在互聯網項目開發中��,如何對用戶的身份進行認證,是一個值得深入探討的問題�。例如,如何才能保證網站不會錯誤的將“馬云的存款數額”顯示到“馬化騰的賬戶”上�����。
2.3�����、不同開發模式下的身份認證
對于服務端渲染和前后端分離這兩種開發模式來說���,分別有著不同的身份認證方案:
-
服務端渲染推薦使用 Session 認證機制
-
前后端分離推薦使用 JWT 認證機制
3���、Session 認證機制
3.1、HTTP 協議的無狀態性
-
了解 HTTP 協議的無狀態性是進一步學習 Session 認證機制的必要前提���。
-
HTTP 協議的無狀態性�,指的是客戶端的每次 HTTP 請求都是獨立的����,連續多個請求之間沒有直接的關系,服務器不會主動保留每次 HTTP 請求的狀態�。
3.2、如何突破 HTTP 無狀態的限制
對于超市來說,為了方便收銀員在進行結算時給 VIP 用戶打折��,超市可以為每個 VIP 用戶發放會員卡����。
注意:現實生活中的會員卡身份認證方式���,在 Web 開發中的專業術語叫做 Cookie
3.3�����、什么是 Cookie
-
Cookie 是存儲在用戶瀏覽器中的一段不超過 4 KB 的字符串���。它由一個名稱(Name)、一個值(Value)和其它幾個用于控制 Cookie 有效期�����、安全性���、使用范圍的可選屬性組成����。
-
不同域名下的 Cookie 各自獨立,每當客戶端發起請求時����,會自動把當前域名下所有未過期的 Cookie 一同發送到服務器。
Cookie的幾大特性:
-
自動發送
-
域名獨立
-
過期時限
-
4KB 限制
3.4���、Cookie 在身份認證中的作用
客戶端第一次請求服務器的時候��,服務器通過響應頭的形式�����,向客戶端發送一個身份認證的 Cookie���,客戶端會自動將 Cookie 保存在瀏覽器中。
隨后��,當客戶端瀏覽器每次請求服務器的時候�����,瀏覽器會自動將身份認證相關的 Cookie�,通過請求頭的形式發送給服務器,服務器即可驗明客戶端的身份����。
3.5�、Cookie 不具有安全性
由于 Cookie 是存儲在瀏覽器中的�����,而且瀏覽器也提供了讀寫 Cookie 的 API���,因此 Cookie 很容易被偽造,不具有安全性���。因此不建議服務器將重要的隱私數據����,通過 Cookie 的形式發送給瀏覽器�����。
注意:千萬不要使用 Cookie 存儲重要且隱私的數據!比如用戶的身份信息、密碼等�����。
3.6��、提高身份認證的安全性
為了防止客戶偽造會員卡���,收銀員在拿到客戶出示的會員卡之后����,可以在收銀機上進行刷卡認證����。只有收銀機確認存在的會員卡,才能被正常使用�����。
這種“會員卡 + 刷卡認證”的設計理念�����,就是 Session 認證機制的精髓�����。
3.7�����、Session 的工作原理
4、在 Express 中使用 Session 認證
4.1���、安裝 express-session 中間件
在 Express 項目中�����,只需要安裝 express-session 中間件���,即可在項目中使用 Session 認證:
npm install express-session
4.2、配置 express-session 中間件
express-session 中間件安裝成功后���,需要通過 app.use() 來注冊 session 中間件,示例代碼如下:
-
-
const session = require('express-session')
-
-
-
-
-
-
-
-
-
4.3�、向 session 中存數據
當 express-session 中間件配置成功后,即可通過 req.session 來訪問和使用 session 對象�����,從而存儲用戶的關鍵信息:
-
-
app.post('/api/login', (req, res) => {
-
-
if (req.body.username !== 'admin' || req.body.password !== '000000') {
-
return res.send({ status: 1, msg: '登錄失敗' })
-
-
-
-
-
req.session.user = req.body
-
-
req.session.islogin = true
-
-
res.send({ status: 0, msg: '登錄成功' })
-
4.4���、從 session 中取數據
可以直接從 req.session 對象上獲取之前存儲的數據��,示例代碼如下:
-
-
app.get('/api/username', (req, res) => {
-
-
if (!req.session.islogin) {
-
return res.send({ status: 1, msg: 'fail' })
-
-
-
-
-
username: req.session.user.username,
-
-
4.5���、清空 session
調用 req.session.destroy() 函數�����,即可清空服務器保存的 session 信息�。
-
-
app.post('/api/logout', (req, res) => {
-
-
-
-
-
-
-
4.6�、完整示例
index.html
-
-
-
-
-
-
<meta name="viewport" content="width=device-width, initial-scale=1.0">
-
-
<script src="./jquery.js"></script>
-
-
-
-
-
-
<button id="btnLogout">退出登錄</button>
-
-
-
-
-
-
$.get('/api/username', function (res) {
-
-
-
alert('您尚未登錄���,請登錄后再執行此操作���!')
-
location.href = './login.html'
-
-
alert('歡迎您:' + res.username)
-
-
-
-
-
$('#btnLogout').on('click', function () {
-
-
$.post('/api/logout', function (res) {
-
-
-
location.href = './login.html'
-
-
-
-
-
-
-
-
login.html
-
-
-
-
-
-
<meta name="viewport" content="width=device-width, initial-scale=1.0">
-
-
<script src="./jquery.js"></script>
-
-
-
-
-
-
<div>賬號:<input type="text" name="username" autocomplete="off" /></div>
-
<div>密碼:<input type="password" name="password" /></div>
-
-
-
-
-
-
-
$('#form1').on('submit', function (e) {
-
-
-
-
$.post('/api/login', $(this).serialize(), function (res) {
-
-
-
location.href = './index.html'
-
-
-
-
-
-
-
-
-
-
app.js
-
-
const express = require('express')
-
-
-
-
-
const session = require('express-session')
-
-
-
-
-
-
-
-
-
-
app.use(express.static('./pages'))
-
-
app.use(express.urlencoded({ extended: false }))
-
-
-
app.post('/api/login', (req, res) => {
-
-
if (req.body.username !== 'admin' || req.body.password !== '000000') {
-
return res.send({ status: 1, msg: '登錄失敗' })
-
-
-
-
-
req.session.user = req.body
-
-
req.session.islogin = true
-
-
res.send({ status: 0, msg: '登錄成功' })
-
-
-
-
app.get('/api/username', (req, res) => {
-
-
if (!req.session.islogin) {
-
return res.send({ status: 1, msg: 'fail' })
-
-
-
-
-
username: req.session.user.username,
-
-
-
-
-
app.post('/api/logout', (req, res) => {
-
-
-
-
-
-
-
-
-
-
app.listen(80, function () {
-
console.log('Express server running at http://127.0.0.1:80')
-
5����、JWT 認證機制
5.1����、了解 Session 認證的局限性
Session 認證機制需要配合 Cookie 才能實現�。由于 Cookie 默認不支持跨域訪問,所以����,當涉及到前端跨域請求后端接口的時候,需要做很多額外的配置�����,才能實現跨域 Session 認證�。
注意:
-
當前端請求后端接口不存在跨域問題的時候,推薦使用 Session 身份認證機制�����。
-
當前端需要跨域請求后端接口的時候����,不推薦使用 Session 身份認證機制,推薦使用 JWT 認證機制。
5.2���、什么是 JWT
JWT(英文全稱:JSON Web Token)是目前最流行的跨域認證解決方案���。
5.3、JWT 的工作原理
總結:用戶的信息通過 Token 字符串的形式���,保存在客戶端瀏覽器中�����。服務器通過還原 Token 字符串的形式來認證用戶的身份�����。
5.4����、JWT 的組成部分
JWT 通常由三部分組成����,分別是 Header(頭部)���、Payload(有效荷載)���、Signature(簽名)�����。
三者之間使用英文的“.”分隔���,格式如下:
下面是 JWT 字符串的示例:
5.5、JWT 的三個部分各自代表的含義
JWT 的三個組成部分�����,從前到后分別是 Header����、Payload、Signature���。
其中:
-
Payload 部分才是真正的用戶信息�,它是用戶信息經過加密之后生成的字符串�����。
-
Header 和 Signature 是安全性相關的部分,只是為了保證 Token 的安全性���。
5.6���、JWT 的使用方式
客戶端收到服務器返回的 JWT 之后,通常會將它儲存在 localStorage 或 sessionStorage 中�。
此后,客戶端每次與服務器通信��,都要帶上這個 JWT 的字符串���,從而進行身份認證����。推薦的做法是把 JWT 放在 HTTP 請求頭的 Authorization 字段中�,格式如下:
6、在 Express 中使用 JWT
6.1�、安裝 JWT 相關的包
運行如下命令,安裝如下兩個 JWT 相關的包:
npm install jsonwebtoken express-jwt
其中:
-
jsonwebtoken 用于生成 JWT 字符串
-
express-jwt 用于將 JWT 字符串解析還原成 JSON 對象
6.2�����、導入 JWT 相關的包
使用 require() 函數�,分別導入 JWT 相關的兩個包:
-
-
const jwt = require('jsonwebtoken')
-
const expressJWT = require('express-jwt')
6.3�����、定義 secret 密鑰
為了保證 JWT 字符串的安全性�,防止 JWT 字符串在網絡傳輸過程中被別人破解,我們需要專門定義一個用于加密和解密的 secret 密鑰:
-
當生成 JWT 字符串的時候�,需要使用 secret 密鑰對用戶的信息進行加密,最終得到加密好的 JWT 字符串
-
當把 JWT 字符串解析還原成 JSON 對象的時候�,需要使用 secret 密鑰進行解密
-
-
const secretKey = 'itheima No1 ^_^'
6.4、在登錄成功后生成 JWT 字符串
調用 jsonwebtoken 包提供的 sign() 方法���,將用戶的信息加密成 JWT 字符串�����,響應給客戶端:
-
-
app.post('/api/login', function (req, res) {
-
-
const userinfo = req.body
-
-
if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
-
-
-
-
-
-
-
-
-
-
-
-
const tokenStr = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '30s' })
-
-
-
-
-
-
6.5�����、將 JWT 字符串還原為 JSON 對象
-
客戶端每次在訪問那些有權限接口的時候���,都需要主動通過請求頭中的 Authorization 字段,將 Token 字符串發送到服務器進行身份認證�。
-
此時�����,服務器可以通過 express-jwt 這個中間件���,自動將客戶端發送過來的 Token 解析還原成 JSON 對象:
-
-
-
-
app.use(expressJWT({ secret: secretKey }).unless({ path: [/^\/api\//] }))
6.6�、使用 req.user 獲取用戶信息
當 express-jwt 這個中間件配置成功之后,即可在那些有權限的接口中�,使用 req.user 對象,來訪問從 JWT 字符串中解析出來的用戶信息了����,示例代碼如下:
-
-
app.get('/admin/getinfo', function (req, res) {
-
-
-
-
-
-
-
-
6.7����、捕獲解析 JWT 失敗后產生的錯誤
