Node.js Koa2实战：使用JWT进行API鉴权教程

本文主要介绍了如何在 Node.js 使用 Koa2 框架结合 JWT（Json Web Token）进行用户鉴权。在前后端分离的项目中，为了保护 Restful API 不被非法访问，通常需要实现一种鉴权机制。JWT 提供了一种安全的方式，通过在客户端和服务器之间传递经过签名的信息来确保通信的安全。 JWT 是一个标准，允许服务器生成一个紧凑的、自包含的令牌，这个令牌包含了用户的相关信息。令牌可以使用 HMAC 或 RSA 等算法进行签名，以确保数据在传输过程中不被篡改。当用户登录成功后，服务器会生成一个 JWT 并发送给前端，前端将此令牌存储（例如在 LocalStorage 中），然后在后续的 API 请求中携带此令牌。 在 Koa2 中，我们可以利用 `jsonwebtoken` 库生成和验证 JWT，同时使用 `koa-jwt` 中间件简化这一过程。以下是一个简单的实现步骤： 1. 生成 JWT 当用户提交用户名和密码登录时，服务器验证信息无误后，使用 `jsonwebtoken` 的 `sign` 方法生成 JWT。例如： ```javascript const token = jwt.sign({ name: result.name, _id: result._id }, 'my_token', { expiresIn: '2h' }); ``` 这里，`my_token` 是私钥，`expiresIn` 设置了令牌的有效期为2小时。 2. 设置中间件 在 Koa2 中，使用 `koa-jwt` 配置一个中间件，用于验证每个请求的 JWT。这通常在应用的入口文件中完成： ```javascript const jwt = require('koa-jwt'); app.use(jwt({ secret: 'my_token' }).unless({ path: ['/login'] })); ``` 上述代码表示，除了 `/login` 路由，其他所有路由都要求携带有效的 JWT。 3. 验证 JWT 当客户端在请求中附带 JWT 时，`koa-jwt` 中间件会自动验证该令牌。如果验证失败，将会抛出错误，导致请求无法继续。前端需要处理这种错误情况，通常会重定向用户到登录页面。 4. 处理 API 请求 在处理需要鉴权的 API 请求时，Koa2 中间件会自动将验证后的用户信息附加到请求上下文 `ctx.state.user`，你可以通过这个属性访问用户信息： ```javascript router.get('/protected', async (ctx) => { ctx.body = ctx.state.user; // 返回已验证的用户信息 }); ``` 5. 前端使用 前端在每次发送 API 请求时，需要将存储的 JWT 添加到请求头的 `Authorization` 字段，格式通常为 `Bearer <token>`。 总结，使用 Koa2 和 JWT 实现鉴权涉及的主要步骤包括：生成 JWT、配置中间件、验证 JWT 以及处理带有 JWT 的 API 请求。这种方式可以有效保护 API，确保只有经过验证的用户才能访问受保护的资源。