egg-jwt介紹

一、什麼是egg-jwt

egg-jwt是阿里Egg.js團隊為了方便使用JSON Web Token（JWT）而推出的插件。它是基於egg-passport，egg-jwt實現了更為方便的JWT驗證和生成功能。JWT是一種用於身份驗證的標準數據傳輸格式，它主要用於跨域認證。JWT由三部分組成：頭部、負載和簽名。

二、egg-jwt使用場景

JWT的簡便性和通用性使得它成為許多Web應用程序的安全解決方案。使用JWT的統一標識符，在Web應用程序和API中，可以更容易地跨域傳輸令牌。

在使用egg.js時，經常需要利用JWT對身份驗證進行支持。egg-jwt提供了方便的中間件，可以更輕鬆地進行jwt驗證和生成，使開發更簡單，可以更快地構建應用程序。

三、egg-jwt的安裝和使用方法

1、安裝

使用npm安裝egg-jwt模塊：

npm install egg-jwt

2、配置

在你的應用程序中的config.default.js或config/config.${environ}.js文件中增加以下配置。

exports.jwt = {
  secret: '123456', // your jwt secret
  enable: true, // enable middleware for egg, default is true
  match: '/jwt', // optional
  exclude: ['/jwt/login'], // optional
};

其中，secret是你的秘鑰，該秘鑰用於生成JWT，建議使用隨機生成的密碼。

同時，你可以通過配置項enable來指定JWT中間件的開啟與否，match配置項用於指定中間件需要進行驗證的路由，exclude字段則用來排除某些不需要驗證的路由。

3、使用

我們可以在Controller中使用egg-jwt提供的方法進行jwt的簽發和驗證。

編寫一個登錄接口，簽發用戶的jwt:

const Controller = require('egg').Controller;
const jwt = require('jsonwebtoken');

class UserController extends Controller {
  async login() {
    const { ctx } = this;
    const user = {
      username: ctx.request.body.username,
      password: ctx.request.body.password,
    };
    const userInfo = await ctx.service.user.login(user);
    if (!userInfo) {
      ctx.body = {
        success: false,
        message: 'Authentication failed!',
      };
      ctx.status = 401;
    } else {
      const token = jwt.sign(userInfo, this.config.jwt.secret);
      ctx.body = {
        success: true,
        message: 'Authentication successful!',
        token,
      };
      ctx.status = 200;
    }
  }
}

編寫一個需要驗證用戶身份的數據接口：

const Controller = require('egg').Controller;

class UserController extends Controller {
  async getUserInfo() {
    const { ctx } = this;
    const user = ctx.user;
    const userInfo = await ctx.service.user.getUserInfo(user);
    ctx.body = {
      success: true,
      message: 'Get user info successful!',
      data: {
        username: userInfo.username,
        email: userInfo.email,
      }
    };
    ctx.status = 200;
  }
}

4、JWT中間件使用方法

egg-jwt提供了Jwt中間件，我們可以輕鬆地訪問的請求進行Jwt身份驗證，請求中包含無效的Token，將返回401 Unauthorized響應。

特別注意：要在路由中使用jwt中間件，必須將JWT的驗證路由放在所有需要驗證的路由的前面。

在我們的應用程序中添加jwt中間件

exports.middleware = [ 'jwt' ];

有時候，我們需要針對不同的路由使用不同的Jwt配置，eggs-jwt提供了中間件的options設置項，可以覆蓋默認的jwt插件配置項。

exports.middleware = [
  'jwt',
];

exports.jwt = {
  secret: '123456',
  expiresIn: '1h',
  match(ctx) {
    const url = ctx.request.url;
    if (url.startsWith('/api')) {
      return true;
    }
    return false;
  },
};

上面的配置中，通過options方式讓JWT中間件在API請求中工作，並設置了JWT有效期為1小時。

四、egg-jwt插件的優缺點

優點：

1、egg-jwt方便開發者進行JWT的生成和校驗工作。

2、插件提供了很方便的中間件支持，開發者可以輕鬆地在應用程序中使用JWT進行身份驗證。

3、簡化了開發人員對JWT管理的複雜性。

缺點：

1、對於剛開始使用Egg.js的開發者，需要一些時間來學習如何正確地使用該插件。

2、如果不小心曝露出你的JWT秘鑰，那麼你的應用程序就會存在被攻擊的風險。開發者需要妥善保管秘鑰，防止泄露。

五、總結

本文為大家介紹了egg-jwt的基本概念和使用方法，以及它在Egg.js中的優缺點。我們希望本文可以幫助您快速了解並使用egg-jwt，提高您的開發效率和開發質量。