phpjwtredis实现,token自动续期实现：jwt+redis

传统的会话认证使用的是session&＃43;COOKIE&＃xff0c;前后端分离的项目&＃xff0c;更多使用的是token。本文主要实现的token&＃xff0c;基于eggjs&＃43;redis&＃43;jwt&＃43;COOKIE

token会话流程图

先来了解最终实现的token会话流程图

对几个关键流程&＃xff0c;做以下记录

服务端使用JWT生成token

在使用JWT前&＃xff0c;需要提前准备公钥/私钥&＃xff0c;怎么生成密钥&＃xff0c;可参考&＃xff1a;https://www.imqianduan.com/server/RSA-public-private.html

nodejs生成token&＃xff0c;使用jsonwebtoken(https://www.npmjs.com/package/jsonwebtoken)

代码

/**

* 生成token

* &＃64;param {*} data 数据(eg&＃xff1a;{uuid: &＃39;xxx-xx-xx-xxx&＃39;,role:&＃39;admin&＃39;})

* &＃64;param {*} expired token失效时间

*/

createToken(data,expired){

// 时间&＃xff1a;秒

constcreated&＃61;Math.floor(Date.now()/1000);

// RSA私钥

constcert&＃61;fs.readFileSync(

path.resolve(__dirname,&＃39;./rsa_private_key.pem&＃39;),

);

// token密钥

// exp:自纪元以来的秒数

consttoken&＃61;jwt.sign(

{

data,

exp:created&＃43;expired,

},

cert,

{algorithm:&＃39;RS256&＃39;},

);

returntoken;

},

服务端写入redis

写入redis比较简单&＃xff0c;需要注意&＃xff1a;

1、redis的过期时间跟token过期时间保持一致

2、下面的redisKey可以在token能找的到

app.redis.set(redisKey,token);

app.redis.expire(redisKey,Expired);

服务端写入COOKIE

注意的两点&＃xff1a;

1、设置COOKIE的httpOnly为true

2、maxAge跟token和redis的过期时间一致

3、使用eggjs,可以使用encrypt加密

ctx.COOKIEs.set(config.user.tokenName,tokenData[config.user.tokenName],{

httpOnly:true,

maxAge:tokenExpired*1000,

encrypt:true,

domain:&＃39;imqianduan.com&＃39;,

});

ctx.COOKIEs.set(&＃39;x-cid&＃39;,1,{

httpOnly:false,

signed:false,

maxAge:tokenExpired*1000,

domain:&＃39;imqianduan.com&＃39;,

});

前端记录登录状态

前面服务端已经把token写入了COOKIE中&＃xff0c;并设置了httpOnly为true&＃xff0c;所以JS已经不能读取这个token了&＃xff0c;这也是为什么token不能localstorage存储的原因之一

上面一步中&＃xff0c;我们还在COOKIE中写了一个x-cid的COOKIE,我们可以通过它来判断是否已经登录

前端发送业务请求

在前端使用最多的框架react/vue中&＃xff0c;axios和fetch是最常见的发送http请求的方法之一&＃xff0c;但axios和fetch默认都是不携带COOKIE的&＃xff0c;要携带COOKIE,都是要进行一定的设置

fetch

设置credentials为include

credentials:&＃39;include&＃39;

axios

设置withCredentials为true

axios.defaults.withCredentials&＃61;true;

服务端中间件验证token

如果token验证通过&＃xff0c;会返回加密的data数据 &＃xff0c;如{uuid:’xx-xx-xx-xx’,role:’admin’}&＃xff0c;根据这个数据 &＃xff0c;可以知道这个用户是谁(以前是服务端在session中记录&＃xff0c;会消息服务器内存&＃xff0c;现在是加密存到了客户端)

/**

* 验证token

* &＃64;param {*} token 登录token

*/

verifyToken(token){

// 公钥

constcert&＃61;fs.readFileSync(

path.resolve(__dirname,&＃39;./rsa_public_key.pem&＃39;),

);

letres&＃61;&＃39;&＃39;;

try{

constresult&＃61;jwt.verify(token,cert,{algorithms:[&＃39;RS256&＃39;]})||{};

const{exp}&＃61;result,

current&＃61;Math.floor(Date.now()/1000);

if(current<&＃61;exp){

res&＃61;result.data||{};

}

}catch(e){

console.log(e);

}

returnres;

}

**根据token中取到的uuid&＃xff0c;查询redis

中间件部分关键代码

constresult&＃61;verifyToken(token);

consttokenKey&＃61;config.user.redisPrefix.login&＃43;result.uuid;

constredisToken&＃61;await app.redis.get(tokenKey);

// 服务器端可以找到token

if(redisToken){

// 验证是否为最新的token

if(token&＃61;&＃61;&＃61;redisToken){

consttokenExpired&＃61;await app.redis.ttl(tokenKey);

// 如果token超过一半时间&＃xff0c;重新续命

if(tokenExpired

// 重新生成token

consttoken&＃61;createToken(

{uuid:result.uuid},

config.user.tokenExpired,

);

// 更新redis

app.redis.set(tokenKey,token);

app.redis.expire(tokenKey,config.user.tokenExpired);

// 重置COOKIE值

ctx.COOKIEs.set(config.user.tokenName,token,{

httpOnly:true,

maxAge:config.user.tokenExpired*1000,

encrypt:true,

domain:&＃39;imqianduan.com&＃39;,

});

}

// 存储用户信息到ctx,便于controller获取

ctx.userInfo&＃61;{

uuid:result.uuid,

};

awaitnext();

}else{

// 登录失败移除COOKIE

removeCOOKIE();

ctx.status&＃61;422;

// 如果不是最新token&＃xff0c;则代表用户在另一个机器上进行操作&＃xff0c;需要用户重新登录保存最新token

ctx.body&＃61;{

status:1001,

msg:

&＃39;您的账号已在其他机器保持登录&＃xff0c;如果继续将清除其他机器的登录状态&＃39;,

};

}

}

结束

到这里OVER了&＃xff0c;剩下的就是请求业务接口的问题了

关于CORS跨域问题

要实现token机制&＃xff0c;跨域问题是不得不解决的

eggjs可以使用egg-cors(https://www.npmjs.com/package/egg-cors)

// config/plugin.js

cors:{

enable:true,

package:&＃39;egg-cors&＃39;,

},

// config/config.default.js

config.cors&＃61;{

origin:&＃39;http://a.imqianduan.com&＃39;,

allowMethods:&＃39;GET,POST,OPTIONS&＃39;,

// 要使用COOKIE,credentials一定要设置为true

credentials:true,

// maxAge:6000, //seconds

// 如果要使用自定义token,可以在下面设置

allowHeaders:[&＃39;x-csrf-token&＃39;],

};

nginx

直接上代码&＃xff0c;自己去调整吧

server{

listen80;

server_name a.imqianduan.com;

location/{

# add_header &＃39;Access-Control-Allow-Origin&＃39; "http://a.imqianduan.com";

# add_header &＃39;Access-Control-Allow-Methods&＃39; &＃39;GET, POST, PUT, DELETE, OPTIONS&＃39;;

# add_header &＃39;Access-Control-Allow-Headers&＃39; &＃39;DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type&＃39;;

# add_header &＃39;Access-Control-Allow-Credentials&＃39; &＃39;true&＃39;;

# add_header &＃39;Access-Control-Expose-Headers&＃39; &＃39;x-auth-token&＃39;;

if($request_method&＃61;&＃39;OPTIONS&＃39;){

add_header&＃39;Access-Control-Allow-Origin&＃39;"http://a.imqianduan.com";

add_header&＃39;Access-Control-Allow-Methods&＃39;&＃39;GET, POST, PUT, DELETE, OPTIONS&＃39;;

add_header&＃39;Access-Control-Allow-Headers&＃39;&＃39;DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,x-csrf-token&＃39;;

add_header&＃39;Access-Control-Allow-Credentials&＃39;&＃39;true&＃39;;

#add_header &＃39;Access-Control-Expose-Headers&＃39; &＃39;x-auth-token&＃39;;

return200;

}

proxy_pass http://127.0.0.1:7001;

proxy_set_headerHost$host;

proxy_redirect off;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For$proxy_add_x_forwarded_for;

proxy_set_headerAccess-Control-Allow-Credentials&＃39;true&＃39;;

proxy_connect_timeout60;

proxy_read_timeout60;

proxy_send_timeout60;

}

}