JWT认证机制
session不可跨域，用户信息保存在服务器端；
JWT可以跨域，用户信息保存在浏览器；

JWT工作原理
1、客户端通过浏览器输入密码用户名发起登陆请求；
2、服务器验证后，对用户信息通过加密后生成token字符串响应给客户端（服务器不保留token字符串）；
3、将加密后token字符串存储到local storage;
4、客户端再次发起请求时，会把token字符串发送给服务器端；
5、服务器端收到token字符串后，会还原成客户用户信息开始验证，验证成功后会根据当前用户生成特定的响应内容；

安装JWT相关的包
1、jsonwebtoken：用于生成JWT字符串；
2、express-jwt：用于将JWT字符串还原为JSON对象；

npm i jsonwebtoken express-jwt  

3、导入jsonwebtoken express-jwt 模块

// TODO_01：安装并导入 JWT 相关的两个包，分别是 jsonwebtoken 和 express-jwt
const jwt = require('jsonwebtoken') //用于生成token字符串
const expressJWT = require('express-jwt') //用于将token字符串还原成json对象

4、定义secret密钥，对JWT字符串进行加密；

// TODO_02：定义 secret 密钥，建议将密钥命名为 secretKey
const secretKey = 'itheima No1 ^-^'

5、在登录成功之后，调用 jwt.sign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端

// 登录接口
app.post('/api/login', function (req, res) {
  // 将 req.body 请求体中的数据，转存为 userinfo 常量
  const userinfo = req.body
  // 登录失败
  if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
    return res.send({
      status: 400,
      message: '登录失败！'
    })
  }
  // 登录成功
  // TODO_03：在登录成功之后，调用 jwt.sign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端
  // 参数1：用户的信息对象
  // 参数2：加密的密钥
  // 参数3：配置对象，可以配置当权 token 的有效期 30s 30秒过后失效
  const tokenStr = jwt.sign({ username: userinfo.username},secretKey, { expiresIn: '30s'})
  res.send({
    status: 200,
    message: '登录成功！',
    token: 'tokenStr' // 要发送给客户端的 token 字符串
  })
})

6、注册将 JWT 字符串解析还原成 JSON 对象的中间件；

// TODO_04：注册将 JWT 字符串解析还原成 JSON 对象的中间件
// expressJWT({secret:'secretKey'}) 就是用来解析 token 的中间件
// .unless({path: [/^\/api/] }) 用来指定哪些接口不需要访问权限
// 注意：只要配置成功了express-jwt 这个中间件，就可以解析出来的用户信息，挂载到req.user属性上
app.use(expressJWT({secret: secretKey, algorithms:['HS256'] }).unless({path: [/^\/api/] }))

6、使用 req.user 获取用户信息，并使用 data 属性将用户信息发送给客户端

// 这是一个有权限的 API 接口
app.get('/admin/getinfo', function (req, res) {
  // TODO_05：使用 req.user 获取用户信息，并使用 data 属性将用户信息发送给客户端
  console.log(req.user)
  res.send({
    status: 200,
    message: '获取用户信息成功！',
    data: req.user // 要发送给客户端的用户信息
  })
})

9、错误中间件

// TODO_06：使用全局错误处理中间件，捕获解析 JWT 失败后产生的错误
app.use((err, req, res, next) => {
  // 这次错误是由 token 解析失败导致的
  if(err.name === 'UnauthorizedError') {
    return res.send({
      status: 401,
      message: '无效的token'
    })

    res.send({
      status: 500,
      message: '未知的错误'
    })
  }
})

jwt验证-token字符串的加密与解析