增加验证逻辑

我们不想要谁都可以访问 todo 、folder 的一些API,至少我们需要用户登陆了才可以访问,这个时候我们需要 JSON Web Token。

json 代表一种格式,web 代表所处的环境,token 代表一段加密好的字符串。

它的流程通常是这样,在没登录之前访问 todo 或者 folder 是不会给你任何数据的,当我们请求 login 或者 register 接口的时候,校验成功了之后会返回一段token,之后我们去请求 todo 或者 folder的 API,但是在请求之前,我们要在请求头上面加上一个验证字段,而这个字段的值就是我们的token。

当服务器接收到拥有验证字段的请求头部的时候,服务器会校验这个token的有效性,就是先解密后再拿到里面的值,有的是里面还包含一个有效时间的属性,这里我们为了简单,就不添加超时时间字段了。

安装 koa-jwt 、jsonwebtoken

  1. npm i koa-jwt@2 jsonwebtoken -S

koa-jwt 是服务器用来验证请求头的中间件,当有验证请求头的时候,它会把里面的数据解密了之后放到 ctx.state.user 这个对象里面。

jsonwebtoken 就是用来加密对象的库

修改 index.ts , 增加 koa-jwt 中间件

  1. import * as Koa from 'koa';
  2. import * as OtherParser from 'koa-better-body';
  3. import * as bodyParser from 'koa-bodyparser';
  4. import * as Convert from 'koa-convert';
  5. import * as  kjwt from 'koa-jwt';
  6. import { api, router } from './router';
  8. const app = new Koa();
  10. app
  11. .use(Convert(bodyParser()))
  12. .use(Convert(OtherParser()))
  13. .use(kjwt({secret: 'todo-app'}).unless({ path: [/^\/api\/v1\/(login|register)/] }))
  14. .use(router.middleware())
  15. .use(api.middleware())
  16. .use(async (ctx, next) => {
  17.     console.log("state \n");
  18.     console.log(ctx.state);
  19.     await next();
  20. })
  21. .listen(3000, () => {
  22.     console.log("Server Stared on http://localhost:3000");
  23.     api.getRoutes().forEach((route) => {
  24.          console.log(`${route.method} http://localhost:3000${route.path}`)
  25.     })
  26. });

修改 controller/user.ts 让他放回 token, 这个token 非常的简单,就是存储了我们的 user 信息。

  1. import * as Koa from 'koa';
  2. import UserUtil, { User } from '../model/user';
  3. import * as ph from 'password-hash';
  4. import * as jwt from 'jsonwebtoken';
  6. var secret = 'todo-app';
  8. function getFields(ctx: Koa.Context, next) : [string, string, string]{
  9.     try{
  10.         const { username, email, password } = ctx.request.fields
  11.         return [username, email, password];
  12.     }catch(e){
  13.         console.error(e);
  14.         ctx.status = 422;
  15.         ctx.body = '[Unprocesable entity] \n验证失败,必须传递 username/email/password 三个字段';
  16.     }
  17. }
  19. function exceptPassword(user: any){
  20.     user = JSON.parse(JSON.stringify(user));
  21.     if(user.password) delete user.password;
  22.     return user;
  23. }
  25. export default {    
  26.     async register(ctx: Koa.Context, next) {
  27.         const [username, email, password] = getFields(ctx, next);
  28.         try{
  29.             const user = await UserUtil.createUser({
  30.                 username,
  31.                 email,
  32.                 password
  33.             });
  34.             const ret = exceptPassword(user);
  35.             ctx.body = jwt.sign(ret, secret);
  36.         }catch (e){
  37.             console.error(e);
  38.             ctx.status = 422;
  39.             // ctx.body = '[Unprocesable entity] \n验证失败,' + e.errors[0].message;
  40.         }
  41.         await next();
  42.     },
  44.     async login(ctx: Koa.Context, next) {
  45.         const [_, email, password] = getFields(ctx, next);
  46.         ctx.status = 400;
  47.         try{
  48.             const db_user = await User.findOne({
  49.                 where: {
  50.                     email
  51.                 }
  52.             });
  53.             if(ph.verify(password, db_user.password)){
  54.                 ctx.status = 200;
  55.                 const ret = exceptPassword(db_user);
  56.                 ctx.body = jwt.sign(ret, secret);
  57.             }else{
  58.                 ctx.body = "密码不正确";
  59.             }
  60.         }catch(e){
  61.             console.error(e);
  62.             // ctx.body = e.errors[0].message;
  63.         }
  65.         await next();
  66.     }
  67. }

这样我们就保证了不是谁都可以请求我们的 todo 和 folder api 了。