欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

node實(shí)現(xiàn)基于token的身份驗(yàn)證

 更新時(shí)間:2018年04月09日 14:41:14   作者:Jiang Xueyang  
這篇文章主要介紹了node實(shí)現(xiàn)基于token的身份驗(yàn)證,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

最近研究了下基于token的身份驗(yàn)證,并將這種機(jī)制整合在個(gè)人項(xiàng)目中?,F(xiàn)在很多網(wǎng)站的認(rèn)證方式都從傳統(tǒng)的seesion+cookie轉(zhuǎn)向token校驗(yàn)。對(duì)比傳統(tǒng)的校驗(yàn)方式,token確實(shí)有更好的擴(kuò)展性與安全性。

傳統(tǒng)的session+cookie身份驗(yàn)證

由于HTTP是無(wú)狀態(tài)的,它并不記錄用戶的身份。用戶將賬號(hào)與密碼發(fā)送給服務(wù)器后,后臺(tái)通過(guò)校驗(yàn),但是并沒有記錄狀態(tài),于是下一次用戶的請(qǐng)求仍然需要校驗(yàn)身份。為了解決這一問題,需要在服務(wù)端生成一條包含用戶身份的記錄,也就是session,再將這條記錄發(fā)送給用戶并存儲(chǔ)在用戶本地,即cookie。接下來(lái)用戶的請(qǐng)求都會(huì)帶上這條cookie,若客戶端的cookie與服務(wù)端的session能對(duì)應(yīng)上,則說(shuō)明用戶身份驗(yàn)證通過(guò)。

token身份校驗(yàn)

流程大致如下:

  1. 第一次請(qǐng)求時(shí),用戶發(fā)送賬號(hào)與密碼
  2. 后臺(tái)校驗(yàn)通過(guò),則會(huì)生成一個(gè)有時(shí)效性的token,再將此token發(fā)送給用戶
  3. 用戶獲得token后,將此token存儲(chǔ)在本地,一般存儲(chǔ)在localstorage或cookie
  4. 之后的每次請(qǐng)求都會(huì)將此token添加在請(qǐng)求頭里,所有需要校驗(yàn)身份的接口都會(huì)被校驗(yàn)token,若token解析后的數(shù)據(jù)包含用戶身份信息,則身份驗(yàn)證通過(guò)。

對(duì)比傳統(tǒng)的校驗(yàn)方式,token校驗(yàn)有如下優(yōu)勢(shì):

  1. 在基于token的認(rèn)證,token通過(guò)請(qǐng)求頭傳輸,而不是把認(rèn)證信息存儲(chǔ)在session或者cookie中。這意味著無(wú)狀態(tài)。你可以從任意一種可以發(fā)送HTTP請(qǐng)求的終端向服務(wù)器發(fā)送請(qǐng)求。
  2. 可以避免CSRF攻擊
  3. 當(dāng)在應(yīng)用中進(jìn)行 session的讀,寫或者刪除操作時(shí),會(huì)有一個(gè)文件操作發(fā)生在操作系統(tǒng)的temp 文件夾下,至少在第一次時(shí)。假設(shè)有多臺(tái)服務(wù)器并且 session 在第一臺(tái)服務(wù)上創(chuàng)建。當(dāng)你再次發(fā)送請(qǐng)求并且這個(gè)請(qǐng)求落在另一臺(tái)服務(wù)器上,session 信息并不存在并且會(huì)獲得一個(gè)“未認(rèn)證”的響應(yīng)。我知道,你可以通過(guò)一個(gè)粘性 session 解決這個(gè)問題。然而,在基于 token 的認(rèn)證中,這個(gè)問題很自然就被解決了。沒有粘性 session 的問題,因?yàn)樵诿總€(gè)發(fā)送到服務(wù)器的請(qǐng)求中這個(gè)請(qǐng)求的 token 都會(huì)被攔截。

下面介紹一下利用node+jwt(jwt教程)搭建簡(jiǎn)易的token身份校驗(yàn)

示例

當(dāng)用戶第一次登錄時(shí),提交賬號(hào)與密碼至服務(wù)器,服務(wù)器校驗(yàn)通過(guò),則生成對(duì)應(yīng)的token,代碼如下:

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
  let created = Math.floor(Date.now() / 1000);
  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰
  let token = jwt.sign({
    data,
    exp: created + 3600 * 24
  }, cert, {algorithm: 'RS256'});
  return token;
}

//登錄接口
router.post('/oa/login', async (ctx, next) => {
  let data = ctx.request.body;
  let {name, password} = data;
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  await db.query(sql, value).then(res => {
    if (res && res.length > 0) {
      let val = res[0];
      let uid = val['uid'];
      let token = generateToken({uid});
      ctx.body = {
        ...Tips[0], data: {token}
      }
    } else {
      ctx.body = Tips[1006];
    }
  }).catch(e => {
    ctx.body = Tips[1002];
  });

});

用戶通過(guò)校驗(yàn)將獲取到的token存放在本地:

store.set('loginedtoken',token);//store為插件

之后客戶端請(qǐng)求需要驗(yàn)證身份的接口,都會(huì)將token放在請(qǐng)求頭里傳遞給服務(wù)端:

service.interceptors.request.use(config => {
  let params = config.params || {};
  let loginedtoken = store.get('loginedtoken');
  let time = Date.now();
  let {headers} = config;
  headers = {...headers,loginedtoken};
  params = {...params,_:time};
  config = {...config,params,headers};
  return config;
}, error => {
  Promise.reject(error);
})

服務(wù)端對(duì)所有需要登錄的接口均攔截token并校驗(yàn)合法性。

function verifyToken(token){
  let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公鑰
  try{
    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
    let {exp = 0} = result,current = Math.floor(Date.now()/1000);
    if(current <= exp){
      res = result.data || {};
    }
  }catch(e){

  }
  return res;

}

app.use(async(ctx, next) => {
  let {url = ''} = ctx;
  if(url.indexOf('/user/') > -1){//需要校驗(yàn)登錄態(tài)
    let header = ctx.request.header;
    let {loginedtoken} = header;
    if (loginedtoken) {
      let result = verifyToken(loginedtoken);
      let {uid} = result;
      if(uid){
        ctx.state = {uid};
        await next();
      }else{
        return ctx.body = Tips[1005];
      }
    } else {
      return ctx.body = Tips[1005];
    }
  }else{
    await next();
  }
});

本示例使用的公鑰與私鑰可自己生成,操作如下:

  1. 打開命令行工具,輸入openssl,打開openssl;
  2. 生成私鑰:genrsa -out rsa_private_key.pem 2048
  3. 生成公鑰: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

點(diǎn)此查看node后臺(tái)代碼
點(diǎn)此查看前端代碼

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • package.json版本號(hào)符號(hào)^和~前綴的區(qū)別

    package.json版本號(hào)符號(hào)^和~前綴的區(qū)別

    這篇文章介紹了package.json版本號(hào)符號(hào)^和~前綴的區(qū)別,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2022-06-06
  • Node.js連接MongoDB數(shù)據(jù)庫(kù)產(chǎn)生的問題

    Node.js連接MongoDB數(shù)據(jù)庫(kù)產(chǎn)生的問題

    Node.js是使用JavaScript 編寫的可以運(yùn)行在服務(wù)端的JS語(yǔ)言。node.js和mongodb碰撞會(huì)產(chǎn)生一系列問題,下面通過(guò)本文給大家分享Node.js連接MongoDB數(shù)據(jù)庫(kù),需要的的朋友參考下
    2017-02-02
  • Node.js實(shí)現(xiàn)http請(qǐng)求服務(wù)與Mysql數(shù)據(jù)庫(kù)操作方法詳解

    Node.js實(shí)現(xiàn)http請(qǐng)求服務(wù)與Mysql數(shù)據(jù)庫(kù)操作方法詳解

    這篇文章主要介紹了Node.js實(shí)現(xiàn)http請(qǐng)求服務(wù)與Mysql數(shù)據(jù)庫(kù)操作方法,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)吧
    2022-10-10
  • electron安裝報(bào)錯(cuò)終極解決辦法詳細(xì)講解

    electron安裝報(bào)錯(cuò)終極解決辦法詳細(xì)講解

    當(dāng)使用npm安裝electron時(shí),有時(shí)候會(huì)遇到各種各樣的錯(cuò)誤,如網(wǎng)絡(luò)錯(cuò)誤、權(quán)限錯(cuò)誤等等,這篇文章主要給大家介紹了關(guān)于electron安裝報(bào)錯(cuò)終極解決辦法的相關(guān)資料,需要的朋友可以參考下
    2024-09-09
  • Nodejs學(xué)習(xí)筆記之Stream模塊

    Nodejs學(xué)習(xí)筆記之Stream模塊

    nodejs的fs模塊并沒有提供一個(gè)copy的方法,但我們可以很容易的實(shí)現(xiàn)一個(gè),這種方式是把文件內(nèi)容全部讀入內(nèi)存,然后再寫入文件,對(duì)于小型的文本文件,這沒有多大問題,比如grunt-file-copy就是這樣實(shí)現(xiàn)的。
    2015-01-01
  • Nodejs中JSON和YAML互相轉(zhuǎn)換方式

    Nodejs中JSON和YAML互相轉(zhuǎn)換方式

    這篇文章主要介紹了Nodejs中JSON和YAML互相轉(zhuǎn)換方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2025-03-03
  • node.js中的buffer.Buffer.isBuffer方法使用說(shuō)明

    node.js中的buffer.Buffer.isBuffer方法使用說(shuō)明

    這篇文章主要介紹了node.js中的buffer.Buffer.isBuffer方法使用說(shuō)明,本文介紹了buffer.Buffer.isBuffer的方法說(shuō)明、語(yǔ)法、接收參數(shù)、使用實(shí)例和實(shí)現(xiàn)源碼,需要的朋友可以參考下
    2014-12-12
  • 淺談node的事件機(jī)制

    淺談node的事件機(jī)制

    本篇文章主要介紹了node的事件機(jī)制,本文通過(guò)實(shí)現(xiàn)一個(gè)簡(jiǎn)易的、具有發(fā)布/訂閱模式的事件機(jī)制,以此來(lái)理清EventEmitter類的實(shí)現(xiàn)思路,有興趣的可以了解一下
    2017-10-10
  • nodejs中函數(shù)的調(diào)用實(shí)例詳解

    nodejs中函數(shù)的調(diào)用實(shí)例詳解

    本文通過(guò)實(shí)例代碼給大家介紹了nodejs函數(shù)的調(diào)用,代碼簡(jiǎn)單易懂,非常不錯(cuò),具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2018-10-10
  • 配置Node.js環(huán)境變量詳細(xì)圖文教程

    配置Node.js環(huán)境變量詳細(xì)圖文教程

    這篇文章主要給大家介紹了關(guān)于配置Node.js環(huán)境變量詳細(xì)圖文教程的相關(guān)資料,在Node.js中設(shè)置環(huán)境變量非常簡(jiǎn)單,文中通過(guò)圖文介紹的非常詳細(xì),需要的朋友可以參考下
    2023-11-11

最新評(píng)論