最近的工作是开发一个分布式的服务系统，选用的环境是node开发环境，由于需要全面的进行异步开发所以使用Koa框架，开发Web服务需要对用户进行身份认证，所以就使用koa-jwt，为什么使用token这种方式网上有很多介绍token和session的区别我这里就不再赘述了。在给大家演示代码之前我在这一章主要是介绍koa-jwt的工作流程在后面的一章中我将使用程序对大家进行演示。

首先我在这附上koa-jwt的源代码，然后为大家剖析其的工作流程。

源程序

koa-jwt的源程序的主程序在lib/index.js中

'use strict';

const pAny = require('p-any');
const unless = require('koa-unless');
const verify = require('./verify');
const getSecret = require('./get-secret');
const resolveAuthHeader = require('./resolvers/auth-header');
const resolveCookies = require('./resolvers/cookie');

module.exports = (opts = {}) => {
    const { debug, getToken, isRevoked, key = 'user', passthrough, tokenKey } = opts;
    const tokenResolvers = [resolveCookies, resolveAuthHeader];

    if (getToken && typeof getToken === 'function') {
        tokenResolvers.unshift(getToken);
    }

    const middleware = async function jwt(ctx, next) {
        let token;
        tokenResolvers.find(resolver => token = resolver(ctx, opts));

        if (!token && !passthrough) {
            ctx.throw(401, debug ? 'Token not found' : 'Authentication Error');
        }

        let { state: { secret = opts.secret } } = ctx;

        try {
            if (typeof secret === 'function') {
                secret = await getSecret(secret, token);
            }
            
            if (!secret) {
                throw new Error('Secret not provided');
            }

            let secrets = Array.isArray(secret) ? secret : [secret];
            const decodedTokens = secrets.map(async s => await verify(token, s, opts));

            const decodedToken = await pAny(decodedTokens)
                .catch(function (err) {
                    if (err instanceof pAny.AggregateError) {
                        for (const e of err) {
                            throw e;
                        }
                    } else {
                        throw err;
                    }
                });

            if (isRevoked) {
                const tokenRevoked = await isRevoked(ctx, decodedToken, token);
                if (tokenRevoked) {
                    throw new Error('Token revoked');
                }
            }

            ctx.state[key] = decodedToken;
            if (tokenKey) {
                ctx.state[tokenKey] = token;
            }

        } catch (e) {
            if (!passthrough) {
                const msg = debug ? e.message : 'Authentication Error';
                ctx.throw(401, msg, { originalError: e });
            }else{ 
                ctx.state.jwtOriginalError = e;
            }
        }

        return next();
    };

    middleware.unless = unless;
    return middleware;
};

2可配置参数

koa-jwt的可配置参数有debug,getToken,isRevoked,key，passthrough，tokenKey，secret，cookie

2.1debug参数

debug参数数据类型应该是Boolean类型，用于表示是否处于调试状态，如果不是处于调试状态返回的错误参数为Authentication Error如果处于调试状态将会返回具体的错误原因。

2.2getToken参数

getToken参数数据类型应该是函数类型，为用户自定义的获取请求token的函数，如果没有定义此参数将会从请求头的authorization字段或者是cookie中的指定字段获取token。

2.3isRevoked参数

isRevoked参数的数据类型为函数类型，为用户自定义的token是否失效的函数，如果没有定义此参数将不进行token失效处理。

2.4key参数

key参数的数据类型应该是string类型，将属性名为key的属性设置到ctx.state对象中，同时其属性值为解密的token的值，默认值为user。

2.5passthrough参数

passthrough参数的数据类型应该是Boolean类型，此参数用于对身份认证出现错误的时候是否直接抛出错误，如果此参数的值为真在身份认证过程中将不会直接抛出错误而是继续执行后面的程序，如果此参数值为假江湖在出现错误的地方将错误抛出。

2.6tokenKey参数

tokenKey参数的数据类型应该为string类型，其作用与key的作用类型，将属性名为tokenKey的属性设置到ctx.state对象中，同时其属性值为获取token的方法。默认此参数为undefined。

2.7secret参数

secret参数的数据类型为函数类型返回值为字符串类型，或者直接是字符串类型，如果没有定义此参数将会报错所以此属性为必要参数。此参数的作用是解密的秘钥。

2.8cookie参数

cookie参数的数据类型应该是字符串类型，用于指定从cookie中获取token的指定的属性名称。

3Koa-jwt的工作流程

Koa-jwt的工作流程如下图所示

从源程序和流程图我们可以看到koa-jwt的处理过程为：

（1）获取用户的配置参数。

（2）设置获取默认token的函数，如果用户定义了getToken方法将此方法放在获取token方法数组的第一位。

（3）调用获取token方法数组中的方法直到获取到token或者是遍历完数组。

（4）判断是否获取到token，如果获取到执行后面的过程，如果没有获取到抛出错误。

（5）判断secret的类型是否是函数如果是函数，调用此函数存入的值为头部数据和载荷数据返回字符串型的秘钥。

（6）判断秘钥是否为真，对于为真的执行后面的参数，对于不为真的抛出错误。

（7）根据秘钥判断token是否正确，对于token正确的执行后面的过程，对于token不正确的抛出错误。

（8）根据是否定义失效处理函数，如果定义失效处理函数，对此token进行失效判断，如果失效抛出错误，对于未失效继续处理后面的内容。

（9）根据定义key参数设置ctx.state的key属性的值为获取的解密的token

（10）根据用户是否定义tokenKey设置ctx.state的tokenKey属性的值为获取token的函数。

（11）执行后面的组件