国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 網站 > 建站經驗 > 正文

node實現基于token的身份驗證

2019-11-02 14:09:58
字體:
來源:轉載
供稿:網友

最近研究了下基于token的身份驗證,并將這種機制整合在個人項目中。現在很多網站的認證方式都從傳統的seesion+cookie轉向token校驗。對比傳統的校驗方式,token確實有更好的擴展性與安全性。

傳統的session+cookie身份驗證

由于HTTP是無狀態的,它并不記錄用戶的身份。用戶將賬號與密碼發送給服務器后,后臺通過校驗,但是并沒有記錄狀態,于是下一次用戶的請求仍然需要校驗身份。為了解決這一問題,需要在服務端生成一條包含用戶身份的記錄,也就是session,再將這條記錄發送給用戶并存儲在用戶本地,即cookie。接下來用戶的請求都會帶上這條cookie,若客戶端的cookie與服務端的session能對應上,則說明用戶身份驗證通過。

token身份校驗

流程大致如下:

第一次請求時,用戶發送賬號與密碼 后臺校驗通過,則會生成一個有時效性的token,再將此token發送給用戶 用戶獲得token后,將此token存儲在本地,一般存儲在localstorage或cookie 之后的每次請求都會將此token添加在請求頭里,所有需要校驗身份的接口都會被校驗token,若token解析后的數據包含用戶身份信息,則身份驗證通過。

對比傳統的校驗方式,token校驗有如下優勢:

在基于token的認證,token通過請求頭傳輸,而不是把認證信息存儲在session或者cookie中。這意味著無狀態。你可以從任意一種可以發送HTTP請求的終端向服務器發送請求。 可以避免CSRF攻擊 當在應用中進行 session的讀,寫或者刪除操作時,會有一個文件操作發生在操作系統的temp 文件夾下,至少在第一次時。假設有多臺服務器并且 session 在第一臺服務上創建。當你再次發送請求并且這個請求落在另一臺服務器上,session 信息并不存在并且會獲得一個“未認證”的響應。我知道,你可以通過一個粘性 session 解決這個問題。然而,在基于 token 的認證中,這個問題很自然就被解決了。沒有粘性 session 的問題,因為在每個發送到服務器的請求中這個請求的 token 都會被攔截。

下面介紹一下利用node+jwt(jwt教程)搭建簡易的token身份校驗

示例

當用戶第一次登錄時,提交賬號與密碼至服務器,服務器校驗通過,則生成對應的token,代碼如下:

const fs = require('fs');const path = require('path');const jwt = require('jsonwebtoken');//生成token的方法function generateToken(data){  let created = Math.floor(Date.now() / 1000);  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰  let token = jwt.sign({    data,    exp: created + 3600 * 24  }, cert, {algorithm: 'RS256'});  return token;}//登錄接口router.post('/oa/login', async (ctx, next) => {  let data = ctx.request.body;  let {name, password} = data;  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];  await db.query(sql, value).then(res => {    if (res && res.length > 0) {      let val = res[0];      let uid = val['uid'];      let token = generateToken({uid});      ctx.body = {        ...Tips[0], data: {token}      }    } else {      ctx.body = Tips[1006];    }  }).catch(e => {    ctx.body = Tips[1002];  });});

用戶通過校驗將獲取到的token存放在本地:

store.set('loginedtoken',token);//store為插件

之后客戶端請求需要驗證身份的接口,都會將token放在請求頭里傳遞給服務端:

發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
主站蜘蛛池模板: 夏津县| 朝阳县| 交城县| 凤城市| 哈密市| 故城县| 康平县| 红安县| 岫岩| 延吉市| 辰溪县| 香港 | 临汾市| 即墨市| 中西区| 翁源县| 恭城| 宿州市| 察隅县| 依安县| 琼海市| 郓城县| 如东县| 苏尼特右旗| 沅江市| 安溪县| 清新县| 罗山县| 梁平县| 乌兰察布市| 洮南市| 唐山市| 准格尔旗| 筠连县| 溧阳市| 丰台区| 望都县| 察哈| 宣城市| 吴旗县| 岗巴县|