前端面试:你的项目中如何进行用户身份验证?

最新推荐文章于 2023-03-26 12:10:02 发布
最新推荐文章于 2023-03-26 12:10:02 发布
阅读量3.9k 收藏 2
点赞数 2
分类专栏: 前端记录 文章标签: 面试 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TENET_T/article/details/128757456
版权
本文讨论了在面试中关于用户身份验证的问题,重点介绍了使用jsonwebtoken(JWT)进行身份验证的过程。在Node.js项目中,JWT用于生成签名token并存储在客户端的localStorage或cookie中。同时,分析了JWT与普通token的区别,以及JWT的安全性问题,如XSS和CSRF攻击。通过使用jsonwebtoken库,可以方便地进行JWT的生成和验证。
摘要由CSDN通过智能技术生成

面试情景

面试官:项目中有做登录验证的功能吗?是怎么实现用户身份验证的呢?

回答:使用了jsonwebtoken这种机制,也就是jwt,如果用户是第一次登录,服务端会将用户信息用密钥签名,然后将签名附在用户信息(即payload)后面,最后生成jwt token发回给客户端。

回答:客户端下次发送请求时会携带这个jwt token,服务端对jwt token中的签名部分解密,得到用户登录信息,再和jwt token中的用户信息比对,从而验证用户身份。

面试官:你的项目中jwt选择保存在什么地方?有没有考虑安全性?

回答:前端拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里面。但存放在web存储之中的缺点是容易遭受到XSS攻击。

当然jwt也可以存放在cookie中,可以制定httponly来防止被JavaScript读取,也可以制定secure来保证token只在HTTPS下传输。但这样做的缺点是容易遭受CSRF攻击。

面试官:说说jwt和token的区别?

jwt和token其实都会根据用户信息签名之后生成一个token发回给客户端,相似度很高,只不过使用token机制时,解密token后需要用解密出来的数据再去数据库查询用户信息;但如果使用jwt机制,jwt token中已经包含了用户信息,可以直接比对验证,不用查询数据库。

在node.js中使用jsonwebtoken

用npm工具安装完jsonwebtoken后,调用sign函数就可以对用户信息进行签名,然

最低0.47元/天 解锁文章
TENET_T
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户身份认证
SillyLee1的博客
10-13 2383
0. 背景 计算机本身无法判断坐在显示器前的使用者的身份,也无法确认网络的另一端的是谁。为了明确是谁在访问服务器,必须让客户端自报家门。 通常核对一些登录者本人的信息: 密码:只有本人知道的字符串信息 动态令牌:仅限本人持有的设备内显示的一次性密码 数字证书:仅限本人(终端)持有的信息 生物认证:指纹和虹膜等本人生理信息 身份证号、手机号等:仅限本人持有的信息 1. Basic 认证 Basic 身份认证,是 HTTP 1.0 引入的认证方案之一。虽然方案比较古老,实现简单,同时存在
前端开发工程师面试宝典,常见前端面试问题及答案!
最新发布
07-18
### 前端开发工程师面试宝典:常见前端面试问题及答案详解 #### CSS盒模型基本概念 **标准模型与IE模型的区别** 1. **标准模型**:元素的总宽度等于`content`(内容区)的宽度加上左右`padding`(内边距)和`...
[程序设计]前端Web页面使用原生JavaScript实现校验身份证号码在算法层面是否合法
qq_25619143的博客
10-03 743
国大陆居民身份证号码第18位为校验码,用来验证本体码的。因此可以对身份证号码第18位进行校验,来验证身份证号码。由于校验码系统算法的原因,如果身份证号码前17位有。对校验码描述如下图。
记录一次前端验证角色登录的过程-根据token判断用户角色
eyouhs的博客
03-16 1094
在springboot集成JWT后,使用request发送请求如何验证身份
前端页面用户注册验证
Fiona20的博客
07-07 917
用户名验证 <div class="form-group"> <label for="username" class="col-sm-2 control-label">用户名</label> <div class="col-sm-5"> <input type="text" class="form-control" name="
前后端的身份验证
dxl12345678910的博客
02-15 217
cookieCookie是存储在用户浏览器的一-段不超过4 KB的字符串。它由一个名称(Name)、-个值(Value) 和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。不同域名下的Cookie各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的Cookie - -同发送到服务器。①自动发送②域名独立③过期时限④4KB限制secret。
2023最新前端面试宝典
09-10
前端面试知识点详解】 在2023年的前端面试,掌握计算机网络、HTML、CSS、JavaScript以及Vue等核心技术是至关重要的。以下是这些知识点的详细分析: 1. **计算机网络 - HTTP与HTTPS** - **HTTP**:超文本传输...
前端面试题之safe相关题集.zip
06-21
以上是“前端面试题之safe相关题集”可能涉及的部分重点知识点,理解并掌握这些内容将有助于开发者在面试表现出色,同时也能在实际工作提升项目安全性。在学习和准备面试时,应结合具体场景进行深入研究和实践...
前端面试题之浏览器Browser相关题集.zip
06-21
前端开发领域,浏览器是开发者们最常打交道的平台之一,因此对浏览器的理解深度往往直接影响到项目的性能优化和用户体验。本题集主要聚焦于浏览器相关的面试题,旨在帮助面试者和学习者深入理解浏览器的工作原理...
2022前端面试题集锦1
07-18
前端基础】 ...以上内容涵盖了前端面试常见的基础问题,对于准备面试前端开发者来说,理解和掌握这些知识点是至关重要的。通过深入学习和实践,不仅可以提升面试表现,也能在日常工作更好地解决问题。
项目用户鉴权是如何实现的?
前端与计算机相关知识的分享,博主的qq523235674
11-07 1221
主流的前后端分离项目用户鉴权最常用的是目前最流行的跨域认证解决方案---JWT(JSON WEB TOKEN)
防止数据冒用的方法
08-06 366
防止数据冒用的方法
登录验证的步骤
weixin_48952990的博客
07-04 926
项目登录验证的步骤
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 6002
Spring Security是Spring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
身份证号码校验(前端,java)
suqinyi的博客
04-01 7079
身份证号码校验 说明: 第一:前端校验(在vue使用) 第二:后端校验 第三:小编是在element ui 进行验证 身份证号码校验身份证号码校验一、在前端校验身份证(简单)0.基本的格式判定-正则规则说明1.简单校验方案二、在前端校验身份证(完整)1.分装js文件2.页面引入js3.调用验证4.完成非常nice三、在后端校验身份证(完整)总结 以下是本篇文章正文内容 一、在前端校验身份证(简单) 0.基本的格式判定-正则规则说明 `1:地址码的正则表达式:/^[1-9]\d{5}/ `
vue路由守卫--用于前端实现用户权限验证
m0_66504310的博客
12-27 1707
vue路由守卫的三种类型
前端的身份认证
qq_54334713的博客
12-05 1194
Cookie,Session,Token
前端应该掌握的登录认证知识
油墨香^-^的博客
12-07 1484
前一段时间,参与了老项目的迁移工作,配合后端接口迁移时,由于两个项目采取了不一样的登陆方案,所以遇到了跨域登录态无法共享的问题。经过各方协调,最终老项目将迁移页面部署在新项目的指定网关下,并且使用新项目的SSO登录方案。由迁移遇到的登陆态共享问题,引发了我对SSO的思考与学习。如果发现文章有什么错误之处,请及时指正~🙈2.1.1 是什么?JWT是一个开放的 JSON 格式 token 存储标准。它定义了一种安全、紧凑的方式来保存数据,通过签名的方式来校验 token 的合法性,主要支持的签名算法如 H
前后端常见的几种鉴权方式
lionzl的专栏
08-29 756
本文链接:https://blog.csdn.net/wang839305939/article/details/78713124 最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。 目前我们常用的鉴权有四种: HTTP Basic Authentication session-cookie ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值