node实现基于token的身份验证


Posted in Javascript onApril 09, 2018

最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。

传统的session+cookie身份验证

由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求仍然需要校验身份。为了解决这一问题,需要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cookie与服务端的session能对应上,则说明用户身份验证通过。

token身份校验

流程大致如下:

  1. 第一次请求时,用户发送账号与密码
  2. 后台校验通过,则会生成一个有时效性的token,再将此token发送给用户
  3. 用户获得token后,将此token存储在本地,一般存储在localstorage或cookie
  4. 之后的每次请求都会将此token添加在请求头里,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过。

对比传统的校验方式,token校验有如下优势:

  1. 在基于token的认证,token通过请求头传输,而不是把认证信息存储在session或者cookie中。这意味着无状态。你可以从任意一种可以发送HTTP请求的终端向服务器发送请求。
  2. 可以避免CSRF攻击
  3. 当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“未认证”的响应。我知道,你可以通过一个粘性 session 解决这个问题。然而,在基于 token 的认证中,这个问题很自然就被解决了。没有粘性 session 的问题,因为在每个发送到服务器的请求中这个请求的 token 都会被拦截。

下面介绍一下利用node+jwt(jwt教程)搭建简易的token身份校验

示例

当用户第一次登录时,提交账号与密码至服务器,服务器校验通过,则生成对应的token,代码如下:

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
  let created = Math.floor(Date.now() / 1000);
  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私钥
  let token = jwt.sign({
    data,
    exp: created + 3600 * 24
  }, cert, {algorithm: 'RS256'});
  return token;
}

//登录接口
router.post('/oa/login', async (ctx, next) => {
  let data = ctx.request.body;
  let {name, password} = data;
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  await db.query(sql, value).then(res => {
    if (res && res.length > 0) {
      let val = res[0];
      let uid = val['uid'];
      let token = generateToken({uid});
      ctx.body = {
        ...Tips[0], data: {token}
      }
    } else {
      ctx.body = Tips[1006];
    }
  }).catch(e => {
    ctx.body = Tips[1002];
  });

});

用户通过校验将获取到的token存放在本地:

store.set('loginedtoken',token);//store为插件

之后客户端请求需要验证身份的接口,都会将token放在请求头里传递给服务端:

service.interceptors.request.use(config => {
  let params = config.params || {};
  let loginedtoken = store.get('loginedtoken');
  let time = Date.now();
  let {headers} = config;
  headers = {...headers,loginedtoken};
  params = {...params,_:time};
  config = {...config,params,headers};
  return config;
}, error => {
  Promise.reject(error);
})

服务端对所有需要登录的接口均拦截token并校验合法性。

function verifyToken(token){
  let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公钥
  try{
    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
    let {exp = 0} = result,current = Math.floor(Date.now()/1000);
    if(current <= exp){
      res = result.data || {};
    }
  }catch(e){

  }
  return res;

}

app.use(async(ctx, next) => {
  let {url = ''} = ctx;
  if(url.indexOf('/user/') > -1){//需要校验登录态
    let header = ctx.request.header;
    let {loginedtoken} = header;
    if (loginedtoken) {
      let result = verifyToken(loginedtoken);
      let {uid} = result;
      if(uid){
        ctx.state = {uid};
        await next();
      }else{
        return ctx.body = Tips[1005];
      }
    } else {
      return ctx.body = Tips[1005];
    }
  }else{
    await next();
  }
});

本示例使用的公钥与私钥可自己生成,操作如下:

  1. 打开命令行工具,输入openssl,打开openssl;
  2. 生成私钥:genrsa -out rsa_private_key.pem 2048
  3. 生成公钥: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

点此查看node后台代码
点此查看前端代码

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
javascript 页面划词搜索JS
Sep 28 Javascript
10个基于Jquery的幻灯片插件教程
Oct 29 Javascript
JavaScript验证18位身份证号码最后一位正确性的实现代码
Aug 07 Javascript
一个获取第n个元素节点的js函数
Sep 02 Javascript
javascript实现表格排序 编辑 拖拽 缩放
Jan 02 Javascript
jQuery实现的导航动画效果(附demo源码)
Apr 01 Javascript
JavaScript知识点总结(五)之Javascript中两个等于号(==)和三个等于号(===)的区别
May 31 Javascript
Bootstrap框架结合jQuery仿百度换肤功能实例解析
Sep 17 Javascript
Node 自动化部署的方法
Oct 17 Javascript
JS中用EL表达式获取上下文参数值的方法
Mar 28 Javascript
微信小程序实现图片滚动效果示例
Dec 05 Javascript
使用 webpack 插件自动生成 vue 路由文件的方法
Aug 20 Javascript
vue-cli扩展多模块打包的示例代码
Apr 09 #Javascript
webpack中的热刷新与热加载的区别
Apr 09 #Javascript
vue写一个组件
Apr 09 #Javascript
Vue 中使用 CSS Modules优雅方法
Apr 09 #Javascript
JS中双击和单击事件冲突的解决方法
Apr 09 #Javascript
vue脚手架及vue-router基本使用
Apr 09 #Javascript
vue 设置proxyTable参数进行代理跨域
Apr 09 #Javascript
You might like
探讨:php中在foreach中使用foreach ($arr as &amp;$value) 这种类型的解释
2013/06/24 PHP
Mac下快速搭建PHP开发环境步骤详解
2019/05/05 PHP
js同时按下两个方向键
2007/12/01 Javascript
父页面显示遮罩层弹出半透明状态的dialog
2014/03/04 Javascript
JavaScript中的闭包(Closure)详细介绍
2014/12/30 Javascript
原生javascript实现图片弹窗交互效果
2015/01/12 Javascript
jQuery插件Tmpl的简单使用方法
2015/04/27 Javascript
JavaScript中数据结构与算法(一):栈
2015/06/19 Javascript
bootstrap实现弹窗和拖动效果
2016/01/03 Javascript
第九篇Bootstrap导航菜单创建步骤详解
2016/06/21 Javascript
Angular2 (RC4) 路由与导航详解
2016/09/21 Javascript
JS简单获取当前日期和农历日期的方法
2017/04/17 Javascript
微信小程序 wx.request方法的异步封装实例详解
2017/05/18 Javascript
Node.js 8 中的重要新特性
2017/06/28 Javascript
jQuery访问浏览器本地存储cookie、localStorage和sessionStorage的基本用法
2017/10/20 jQuery
浅谈Emergence.js 检测元素可见性的 js 插件
2017/11/18 Javascript
使用百度地图实现地图网格的示例
2018/02/06 Javascript
AngularJS实时获取并显示密码的方法
2018/02/06 Javascript
vue中如何使用ztree
2018/02/06 Javascript
关于React动态加载路由处理的相关问题
2019/01/07 Javascript
详解如何使用webpack打包多页jquery项目
2019/02/01 jQuery
VUE项目中加载已保存的笔记实例方法
2019/09/14 Javascript
[42:06]2019国际邀请赛全明星赛 8.23
2019/09/05 DOTA
Python爬虫模拟登录带验证码网站
2016/01/22 Python
Python机器学习之K-Means聚类实现详解
2018/02/22 Python
使用matplotlib绘制图例标签中带有公式的图
2019/12/13 Python
Python tkinter常用操作代码实例
2020/01/03 Python
python自定义函数def的应用详解
2020/06/03 Python
Python实现扫码工具的示例代码
2020/10/09 Python
css3的transform造成z-index无效解决方案
2014/12/04 HTML / CSS
毕业生优秀推荐信
2013/11/26 职场文书
2014年两会学习心得范例
2014/03/17 职场文书
保送生自荐信范文
2015/03/26 职场文书
离婚起诉状范本
2015/05/19 职场文书
个人工作决心书
2015/09/22 职场文书
5个pandas调用函数的方法让数据处理更加灵活自如
2022/04/24 Python