文章讨论了Session认证在处理跨域请求时的局限性,推荐使用JWT作为解决方案。JWT是一种基于Token的身份验证机制,其信息以加密字符串形式存储在客户端,通过Header、Payload和Signature三部分构成。在服务器端,使用secret密钥进行加密和解密以确保安全性。在登录成功后,服务器生成JWT并发送给客户端,之后的每次请求客户端都将携带JWT进行身份验证。
了解 Session 认证的局限性
Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端按口的时候,需要做很多额外的配置,才能实现跨域 Session 认证
注意:
- 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制
- 当前端需要跨域请求后端接口的时候,不推荐使用Session 身份认证机制,推荐使用JWT 认证机制
JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案
工作原理如下
总结:用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符用的形式来认证用户的身份
JWT的组成部分
JWT 通常由三部分组成,分别是 Header (头部)、Payload (有效荷载)、Signature (签名)三者之间使用英文的“”分隔,格式如下:
Header.Payload.Signature
Payload 部分才是真正的用户信息它是用户信息经过加密之后生成的字符串
Header和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性
JWT如何使用:
客户端收到服务器返回的JWT 之后,通常会将它储存在localStorage 或 sessionStorage 中此后,客户端每次与服务器通信,都要带上这个JWT 的字符串,从而进行身份认证。推荐的做法是把JWT 放在 HTTP请求头的 Authorization 字段中,格式如下:
Authorization: bearer <token>
安装JWT 相关的包
npm install jsonwebtoken express-jwt
- jsonwebtoken 用于生成JWT 字符串
- express-jwt 用于将JWT 字符串解析还原成JSON 对象
定义 secret 密钥
为了保证JWT 字符串的安全性,防止JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密的 secret 密钥:
0当生成WT 字符串的时候,需要使用 secret 密钥对用户的信息进行加密,最终得到加密好的JWT 字符串当把JWT 字符串解析还原成JSON 对象的时候,需要使用 secret 密钥进行解密
const secretKey = 'secretkey'
在登录成功后生成JWT 字符串
调用jsonwebtoken 包提供的 sign() 方法,将用户的信息加密成JWT 字符串,响应给客户端
225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
