使用Node.js搭建Web服务器是学习Node.js比较全面的入门教程，因为实现Web服务器需要用到几个比较重要的模块：http模块、文件系统、url解析模块、路径解析模块、以及301重定向技术等，下面我们就一起来学习如何搭建一个简单的Web服务器。

作为一个Web服务器应具备以下几个功能：

1、能显示以.html/.htm结尾的Web页面

2、能直接打开以.js/.css/.json/.text结尾的文件内容

3、显示图片资源

4、自动下载以.apk/.docx/.zip结尾的文件

5、形如http://xxx.com/a/b/ , 则查找b目录下是否有index.html,如果有就显示，如果没有就列出该目录下的所有文件及文件夹，并可以进一步访问。

6、形如http://xxx.com/a/b,  则作301重定向到http://xxx.com/a/b/ , 这样可以解决内部资源引用错位的问题。

引入需要用到的几个模块：

//http协议模块var http = require('http')//url解析模块var url = require('url')//文件系统模块var fs = require("fs")//路径解析模块var path = require("path")

创建服务并在指定的端口监听：

//创建一个服务var httpServer = http.createServer(this.processRequest.bind(this)) //在指定的端口监听服务httpServer.listen(port,function(){    console.log("[HttpServer][Start]","runing at http://"+ip+":"+port+"/")    console.timeEnd("[HttpServer][Start]")})

在创建服务的时候需要传递一个匿名函数processRequest 对请求进行处理，processRequest接收2个参数，分别是request和response, request对象中包含了请求的所有内容，response是用来设置响应头以及对客户端做出响应操作。

processRequest:function(request,response){    var hasExt = true    var requestUrl = request.url    var pathName = url.parse(requestUrl).pathname     //对请求的路径进行解码，防止中文乱码    pathName = decodeURI(pathName)     //如果路径中没有扩展名    if(path.extname(pathName) === ''){        //如果不是以/结尾的，加/并作301重定向        if (pathName.charAt(pathName.length-1) != "/"){            pathName += "/"            var redirect = "http://"+request.headers.host + pathName            response.writeHead(301, {                location:redirect            })            response.end()            return         }        //添加默认的访问页面,但这个页面不一定存在,后面会处理        pathName += "index.html"        hasExt = false //标记默认页面是程序自动添加的    }     //获取资源文件的相对路径    var filePath = path.join("http/webroot",pathName)     //获取对应文件的文档类型    var contentType = this.getContentType(filePath)     //如果文件名存在    fs.exists(filePath,function(exists){        if(exists){            response.writeHead(200, {"content-type":contentType})            var stream = fs.createReadStream(filePath,{flags:"r",encoding:null})            stream.on("error", function() {                response.writeHead(500,{"content-type": "text/html"})                response.end("<h1>500 Server Error</h1>")            })            //返回文件内容            stream.pipe(response)        }else { //文件名不存在的情况            if(hasExt){                //如果这个文件不是程序自动添加的，直接返回404                response.writeHead(404, {"content-type": "text/html"})                response.end("<h1>404 Not Found</h1>")            }else {                //如果文件是程序自动添加的且不存在，则表示用户希望访问的是该目录下的文件列表                var html = "<head><meta charset='utf-8'></head>"                 try{                    //用户访问目录                    var filedir = filePath.substring(0,filePath.lastIndexOf('\\'))                    //获取用户访问路径下的文件列表                    var files = fs.readdirSync(filedir)                    //将访问路径下的所以文件一一列举出来，并添加超链接，以便用户进一步访问                    for(var i in files){                        var filename = files[i]                        html += "<div><a  href='"+filename+"'>"+filename+"</a></div>"                    }                }catch (e){                    html += "<h1>您访问的目录不存在</h1>"                }                response.writeHead(200, {"content-type": "text/html"})                response.end(html)            }        }    })}

请求处理函数中有几个重点需要说一下：

对于路径中有中文的，浏览器会自动进行编码（英文不变，中文会变），因此在接收到地址后，需要对地址进行解码，否则最后得到的路径和真实路径不相符,

当访问路径不是以具体的文件结尾，并且不是以/结尾，则需要通过重定向加上/,表示当前目录，否则当前路径下的静态资源会找不到

如果访问路径是目录，则列出该目录下所有文件及文件夹，并可以点击访问，为了让中文目录能正常显示，则还要在header中设置charset=utf-8

核心代码就这么多，大概140行左右，完整的代码已上传到github:https://github.com/git-onepixel/Node,

如果要运行demo,打开cmd切换到根目录，运行node start 即可。

看文章之前，强烈建议先把项目拉取下来！案例来自小弟的开源项目 「项目Github」

文章内容只是个人学习的一些总结经验，不具有权威性，这是 Node 服务端的实现，后面会写前端的实现

常见的 Token 验证方式种:

推荐阅读：

JWT 超详细分析

说一说几种常用的登录认证方式，你用的哪种

推荐阅读：

JSON Web Token 入门教程

JSON Web Token - 在Web应用间安全地传递信息

首先我们先安装 jsonwebtoken 和 express-jwt 这两个中间件

jsonwebtoken : 用于生成 Token 。它也有解析 Token 的功能

express-jwt : 用于解析 Token（比 jsonwebtoken 解决方便） , 它把解析之后的数据，存放到 requset.user 中

如果你看了上面 JWT 介绍的文章，就知道 JWT 是由三部分组成的，分别是 载荷(Payload) 、 头部(Header) 、 签名(Signature) 。

jsonwebtoken 给我们提供了 sign(payload, secretOrPrivateKey, [options, callback]) 方法。sign 方法对应的其实就是 JWT 签名(Signature) 的动作

payload：荷载 ，参数类型：对象secretOrPrivateKey：自定义的密钥，密钥属于敏感信息。参数类型：字符串options：可以配置 header 、荷载、指定算法类型。参数类型：对象callback：回调

眼尖的朋友应该发现， payload 和 options 两个 参数 都可以配置荷，下面有例子。根据自己的习惯选择就好

Payload 部分 JWT 规定了7个官方字段,这些字段都是可选字段。可直接以对象的形式传给 payload 参数。

options 中也可以接受以上七个字段，不过字段名称有所区别。

除此之后 options 提供了 algorithm 和 header ，分别对应使用的加密算法和 JWT 的 Header 部分，其实 algorithm 应该也是属于 Header 部分的。

说了这么多，其实我们一般常用的只有 exp(expiresIn) 和 algorithm 这两个字段，

例子一：

token 的有效时间是配置在 option 里

例子二：

我们也可以在 payload 里配置有效时间

jsonwebtoken 除了生成 token 外，还提供了解析验证 token 的方法， jwt.verify(token, secretOrPublicKey, [options, callback]) 。

这里就不演示了， 感兴趣的朋友可以参考文档： 「JsonWebToken」

express-jwt 是针对 express 框架开发的 JWT Token 验证中间件。我先来简单说以下它的用法。

主要有两种方式，一种是哪些请求需要验证就往哪里加验证；另外一种是先给全部请求加上验证，再给不需要验证的请求配置 白名单 。

方式一：

看完上面的例子，很显然不符合我们的逾期，一个正常的项目有个几十个 api 是分分钟的事。我们不可能一个个给他加上检验

方式二：

这种方式是不是方便很多，而且更美观，维护起来也更方便

Token 解析出来的用户信息，默认存放在 req.user , 可以直接 req.user.userId 来使用生成 Token 时填进去的用户id

你也通过 requestProperty 和 resultProperty 来设置用户信息存放的对象。

这里就不展开，详细文档参考： express-jwt

可以使用 app.use() 来注册处理验证不通过的情况

到这里 Token 的生成、验证、检验不通过错误处理就完成了。 Token 生成一般是在登录之后生成，并返回给前端，前端拿到 Token ,并在每次请求 api 的时候携带上 Token , Token 就相当于这个用户的身份，不要轻易泄露。

Token一旦签发，不能主动让它失效，只能等待它有效期过才能失效。也就是说就算你修改了密码，之前的 Token 也还是有效的。你可以修改后端生成 Token 时使用的密钥，不让之前的 Token 检验通过，但是这就表示之前所有生成 Token 都失效了，做不到针对某个用户进行注销。这显然也不合适的。 所以用户修改密码时，前端一般都要清除之前保存的 Token,再重获取新的 Token

有朋友应该会想到在后端把 Token 储存起来，每一个用户对应一个 token。修改账号时，再生成一个新的 Token 覆盖之前的 Token，但这就违背了使用 Token 的目的，Token 的使用很大程度就为了减少服务器的压力。把尽可能多的信息存储在客户端而不是服务端。

使用 Token 可以防御 CSRF 攻击，之前写过一篇关于网络安全的文章，感兴趣的朋友可以看一下 「XSS 攻击、CSRF 攻击、SQL 注入、流量劫持（DNS 劫持、HTTP 劫持）—— 浏览器安全」