原理
登录成功后,保存登录信息到文件/数据库种,同时保存创建时间和过期时间,下次验证的时候取出来做验证
使用express-session中间件来进行session的操作
安装express-session
npm install express-session
配置expess-session中间件
//使用express-session插件
app.use(session({
secret: 'keyboard cat',//这是秘钥
resave: false,
saveUninitialized: true,
cookie: {
path: '/',//发送的cookies路径
httpOnly: true,//是否http请求
secure: false,
maxAge: 1000*60*60 //设置过期的时间,以ms为单位
}
}))
发送给前端
如果登录成功,发送给前端,前端存储,下次请求时携带给后端
req.session.userInfo={
id:_judge_result[0]._id,
level:_judge_result[0].level||8//8为等级权限
}
登录验证
const isSignin =(req,res)=>{
if(req.session.userInfo){
res.render('user',{
code:200,
data:JSON.stringify({
msg:"用户已经登录了"
})
})
}else{
res.render('user',{
code:403,
data:JSON.stringify({
msg:"用户未登录,请重新登录"
})
})
}
}
总结:后端存储验证信息的方式,如果用户过大,需要做负载均衡,还容易受到攻击,如:网站钓鱼。如果你有什么见解,欢迎留言。