【 Node 】生成token、存储到cookie

介绍

JWT(Json Web Token)是实现token技术的一种解决方案,JWT由三部分组成: header(头)、payload(载体)、signature(签名)
jsonwebtoken
cookie-parser

下载

npm install jsonwebtoken cookie-parser --save

加密

// (需要加密的对象,<自定义key>,参数)
	jwt.sign(payload, secretOrPrivateKey, [options, callback])
			payload参数 (与option里面的参数只能设置其中的一个 不能二者都设置)
			{
				iss(issuer): 签发人
				exp (expiration time): 过期时间
				sub (subject): 主题
				aud (audience): 受众
				nbf (Not Before): 生效时间
				iat (Issued At): 签发时间
				jti (JWT ID): 编号
			}
			options参数
			{
				algorithm:加密算法(默认值:HS256)
				expiresIn:以秒表示或描述时间跨度zeit / ms的字符串。如60"2 days""10h""7d",含义是:过期时间
				notBefore:以秒表示或描述时间跨度zeit / ms的字符串。如:60"2days""10h""7d"
				audience:Audience,观众
				issuer:Issuer,发行者
				jwtid:JWT ID
				subject:Subject,主题
				noTimestamp
				header
			}
	jwt.sign({password:"需要加密的密码",.......}, <自定义名称>, {
		algorithm:"加密算法(默认是HS256)", (加密算法)
		expiresIn:"60 / 2 days / 10h / 7d", (过期时间)
		.......
	})

验证

	// 验证token的合法性
	jwt.verify(token,secretOrPublicKey)
	// 获取的Token包括 Bearer xxxxxxx 使用split分隔成数组 获取后面的token
	let token = req.headers.authorization.split(" ")[1];
	const decoded = jwt.verify(token, secretOrPrivateKey);

生成token令牌

const express = require('express')
const jwt = require('jsonwebtoken');
const cookieParser = require('cookie-parser')
const app = express()
app.use(cookieParser())

app.get('/token',(req,res)=>{
	// 生成token
	const token = jwt.sign({name:"name",password:"123456"},'token',{
		expiresIn:"1d"
	})
	res.status(200).send({success:true,token:token})
})

app.listen(8000,console.log('服务器已经启动'))

在这里插入图片描述

存储到cookie

const express = require('express')
const jwt = require('jsonwebtoken');
const cookieParser = require('cookie-parser')
const app = express()
app.use(cookieParser())

app.get('/cookie',(req,res)=>{
	const token = jwt.sign({name:"name",password:"123456"},'token',{
		expiresIn:"1d"
	})
	req.cookies = token
	console.log('Cookies: ', req.cookies)
	// 存储到cookie 
	/**
		res.cookie("key",value,options)
			options
			{
				domain : 域名,
				expires : 过期时间,
				maxAge : 最大失效时间/毫秒,
				secure : true (cookie在HTTP下无效 在HTTPS里面才有效),
				httpOnly : false, (设置为true的时候 无法使用document.cookie读取信息 可以防止XSS攻击)	
				signed : true (使用res.signedCookies访问 需要在app.use(cookieParser()) 里面传参)
				path:/ 表示cookie影响到的路由
			}
	*/
	res.status(200).cookie('token', token,{ maxAge: 10000*4,signed:true,httpOnly:true }).json({ success: true, token: token })
})

app.listen(8000,console.log('服务器已经启动'))

在这里插入图片描述
在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node.js基于token的登录验证是一种常见的身份验证和授权机制。它使用令牌作为凭据来验证用户身份并授权访问受保护的资源。 当用户登录成功后,服务器会生成一个token。这个token是一个随机字符串,它包含了一些用户信息和相关权限。服务器将这个token发送给客户端,客户端将其保存在本地,如localStorage或cookie中。 当用户访问需要身份验证的资源时,客户端将token作为请求头或请求参数发送给服务器。服务器接收到请求后,会解析token并验证其有效性。若token有效且未过期,则认为用户已登录,可以授权用户访问受保护的资源。否则,服务器会返回未授权的错误响应。 优点: 1. 无状态:服务器不需要保存用户的登录状态,因此可以更好地扩展和分布式。 2. 安全性:通信过程中token被加密和签名,使其难以伪造和改变。 3. 高效性:验证过程简单,减少了服务器的负载。 4. 可扩展性:可以轻松地用于支持多个客户端和API。 缺点: 1. 客户端存储:客户端需要存储token,如果被盗用或泄露,可能会导致安全风险。 2. 无法废止tokens:一旦发出的token被盗用,服务器无法废止,除非过期时间到期或用户进行密码重置。 总之,基于token的登录验证是一种简单且高效的身份验证和授权机制,适用于大多数Web应用程序。但在实施时,必须注意安全风险,例如使用HTTPS来确保通信安全,并定期更新token以减少盗用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值