Session 登陸與 Token 登陸的區(qū)別
1�����、Session 登陸是在服務器端生成用戶相關 session 數(shù)據(jù),發(fā)給客戶端 session_id 存放到 cookie 中����,這樣在客戶端請求時帶上 session_id 就可以驗證服務器端是否存在 session 數(shù)據(jù)�����,以此完成用戶認證。這種認證方式���,可以更好的在服務端對會話進行控制����,安全性比較高(session_id 隨機),但是服務端需要存儲 session 數(shù)據(jù)(如內(nèi)存或數(shù)據(jù)庫)����,這樣無疑增加維護成本和減弱可擴展性(多臺服務器)���。 CSRF 攻擊一般基于 cookie����。另外�,如果是原生 app 使用這種服務接口,因為沒有瀏覽器 cookie 功能�����,所以接入會相對麻煩�。
2、基于 token 的用戶認證是一種服務端無狀態(tài)的認證方式���,服務端不用存放 token 數(shù)據(jù)。用戶驗證后,服務端生成一個 token(hash 或 encrypt)發(fā)給客戶端��,客戶端可以放到 cookie 或 localStorage 中�����,每次請求時在 Header 中帶上 token���,服務端收到 token����,通過驗證后即可確認用戶身份�。這種方式相對 cookie 的認證方式就簡單一些�����,服務端不用存儲認證數(shù)據(jù)�����,易維護擴展性強�,token 存在 localStorage 可避免 CSRF�,web 和 app 應用都比較簡單。不過這種方式在加密或解密的時候會有一些性能開銷(好像也不是很大)���,有些對稱加密存在安全隱患(aes cbc 字節(jié)翻轉(zhuǎn)攻擊)。
koa + session 登陸驗證
1�、首先要安裝 koa-sisson 包
npm install koa-session -S
koa-session 實際上是通過 cookie 來保存信息的�����。koa-session 在服務器上生成一個信息,通過加密后�,以 cookie 的形式發(fā)送到用戶的瀏覽器���,在用戶瀏覽器上可以看到是一個加密的 cookie 字段�,然后在服務端路由中通過 ctx.session.xx 來獲取 xx 這個信息�。而當每次當用戶發(fā)送請求時候,就可以獲取到這個 cookie,koa-sesscion 會內(nèi)部會幫我們解密為最初的存儲的信息��,于是我們可以通過判斷這個 cookie 是存在來校驗用戶是否已經(jīng)登錄了����。
2、app.js 中初始化
const Koa = require('koa')const app = new Koa()const session = require('koa-session')const bodyParser = require('koa-bodyparser')const Router = require('koa-router')const router = new Router()const CONFIG = { key: 'koa:sess', /** (string) cookie key (default is koa:sess) cookie 的Name */ /** (number || 'session') maxAge in ms (default is 1 days) */ /** 'session' will result in a cookie that expires when session/browser is closed */ /** Warning: If a session cookie is stolen, this cookie will never expire */ maxAge: 86400000, /** cookie 的過期時間 */ autoCommit: true, /** (boolean) automatically commit headers (default true) */ overwrite: true, /** (boolean) can overwrite or not (default true) */ httpOnly: true, /** (boolean) httpOnly or not (default true) */ signed: true, /** (boolean) signed or not (default true) */ rolling: false, /** (boolean) Force a session identifier cookie to be set on every response. The expiration is reset to the original maxAge, resetting the expiration countdown. (default is false) */ renew: false, /** (boolean) renew session when session is nearly expired, so we can always keep user logged in. (default is false)*/}app.keys = ['login secret'] // 加密密鑰app.use(session(CONFIG, app));app.use(bodyParser())app.use(router.routes()).use(router.allowedMethods())
