Express 双token认证 实现无感刷新token

最新推荐文章于 2024-04-11 21:33:02 发布
最新推荐文章于 2024-04-11 21:33:02 发布
阅读量642 收藏 23
点赞数 16
文章标签: express
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YN2004/article/details/137113863
版权

相信兄弟们在写项目时,都必须要考虑用户信息安全的一个问题,那么这时候大多数兄弟选择使用token来保护用户信息。

但是又对token所设置的时间拿捏不准

        token设置的时间长了,那么我们设置token的意义也就消失了,数据还是会被不法分子拦截、劫持。

        token设置的时间短了,虽然说保障了我们用户的信息安全,但是在用户使用的过程中,token已过期就会需要我们用户重新登录,造成用户的体验感很差。

在这时候我们就要考虑,如何在确保用户信息安全的情况下,让用户有一个良好的体验呢?

如果我们设置两个token(一个长token,一个短token)是不是就可以解决这个问题了呢?

也就是本次要讲的双token(双JWT)认证了。

双token的原理也很简单:

  • 通过定义两个token,长token(Refresh Token)和短token(Access Token)
  • 在用户登录完成之后后端则会生成双token,并且将短token(Access Token)返回到前端用于数据的请求。
  • 而长token(Refresh Token)则会留在后端,用于短token(Access Token)过期之后获取新的短token。

双token认证主要就是为了解决:

        1、设置单token时,不安全容易被劫持,导致用户信息泄露的问题。

        2、单token过期用户需要重新登录,降低用户体验。

        3、降低对服务器的负载等问题的。

那么说了这么多,又如何实现双token认证呢?

1、在我们使用express后端创建token时,首先就是下载jsonwebtoken的node包

npm i jsonwebtoken

 2、接下来呢就是在我们需要使用jsonwebtoken的文件中,导入我们的jsonwebtoken包

        这里我们首先创建了一个文件夹用于存放我们的token.js文件方便我们后续的使用

        然后就是在我们新创建的token.js文件中导入我们下载好的包

const jwt = require('jsonwebtoken')

3、当我们基础配置完成之后就该,创建我们的token了 

        首先就是定义三个常量方便后续定义token使用

        这里我们的密钥是随便输的,在我们实际的开发中,可以根据我们的需求传入

// 定义密钥,可以根据需求修改
const secret = 'asdasdsadsxzc'

// 定义短token过期时间
const accessTokenTime=20

// 定义长token过期时间
const refreshTokenTime = 60*60*24

        其次就是根据我们定义好的常量,创建两个token

// 定义短Token
const setAccessToken=(user={})=>{
    return 'Bearer ' + jwt.sign(user,secret,{expiresIn:accessTokenTime})
}
// 定义长Token
const setRefreshToken=(user={})=>{
    return 'Bearer ' +  jwt.sign(user,secret,{expiresIn:refreshTokenTime})
}

4、创建完双token之后,也就到了我们最重要的一步,双token的验证

        这里是对短token的一个认证

// 验证短token是否过期
const testAccessToken=(token)=>{
    let code = 200
    if(!token){
        return{
            code:401,
            msg:'未登录或token不存在'
        }
    }
    jwt.verify(token,secret,(err,data)=>{
        if(err){
            if(err.message == 'invalid token'){
                code = 402
                msg = '无效的token'
                return
            }
            if(err.message == 'jwt expired'){
                code = 402
                msg = 'token过期'
                return
            }
            code = 402
            msg = '未知token错误'
            return
        }
        code = 200
        msg = '有效的token'
        return
    })
    return{
        code,
        msg
    }
}

        这里则是对长token的认证

// 验证长token是否过期
const testRefreshToken=(token,user)=>{
    let code = 200
    let newtoken = ''
    jwt.verify(token,secret,(err,data)=>{
        if(err){
            if(err.message == 'invalid token'){
                code = 402
                msg = '无效的token'
                return
            }
            if(err.message == 'jwt expired'){
                code = 402
                msg = 'token过期'
                return
            }
            code = 402
            msg = '未知token错误'
            return
        }
        code = 200
        msg = '有效的token'
        newtoken = setAccessToken(user)
        return
    })
    return{
        code,
        msg,
        newtoken
    }
}

4、当我们的token认证配置完成后一定不能忘了最重要的一步,那就是将属性和方法导出

module.exports={
    setAccessToken,     // 定义短Token
    setRefreshToken,    // 定义长Token
    testAccessToken,    // 验证短token是否过期
    testRefreshToken    // 验证长token是否过期
}

这样就完成了我们token.js的配置了,后续在使用中导入我们的token.js文件直接使用方法即可。

总结:

        双token的机制其实不难理解,相信以兄弟们的脑子一定是能够比我有更好的理解的。

以上就是我本章要分享的内容了,写的不好请见谅,希望通过本章,可以让你对双token有一个大概的理解。

老颖宁
关注
  • 16
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
node.js之expresstoken验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 中的用户信息,比如用户 id
express中进行token认证
邓占勇的博客
03-25 5283
什么是Token Token 是在服务端产生的,当客户端传来的用户名/密码验证通过时,就会在服务器端生成一个Token返回给客户端,这个Token中包含了用户信息、过期时间等信息。客户端接收到返回的token后将其保存,在有效时间内客户端向服务器端发送请求时只需要带上这个token即可,无需再带上用户名和密码。 express中进行Token认证 1.安装jsonwebtoken ...
token认证Express实现token的过程
m0_74343097的博客
01-03 1385
token认证Express实现token的过程
express中简单的使用token
ananzhangwei的博客
05-12 1709
简单的实现express实现token
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
axios如何利用promise无痛刷新token实现方法
10-16
主要介绍了axios如何利用promise无痛刷新token实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android OkHttp实现全局过期token自动刷新示例
01-20
这个过程应该说对用户来说是无感的。 这个过程用流程图可以这样表示: 自动更新token流程 要实现上述需求的话,大家会如何实现呢? 首先讲一下Token和Cookie吧 – cookie cookie是保存在本地终端的数据。cookie由...
webapi下的token认证刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和...测试页面click_me_please_iframe.html包含相应的刷新认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
token】一.token的作用;二.Express实现token的方法
weixin_44892365的博客
01-03 975
token】一.token的作用;二.Express实现token的方法
实战指南:在Vue.js与Express实现Token验证以提升API安全性及用户体验
最新发布
afeng_666的博客
04-11 971
Token验证体系结构的核心在于Access Token与Refresh Token的协同工作。而Refresh Token则扮演着长期授权的角色,在Access Token失效后,用于获取新的Access Token,避免了频繁要求用户重新登录。其中,Token验证作为一种灵活且安全的身份验证方式,尤其在OAuth 2.0标准中得到了广泛应用。今天我们将深入探讨一种更为安全的身份验证机制——Token验证,并通过实例演示如何在实际项目中实施这一方案。
node.js express JWT token生成与校验
SupperSA的博客
12-11 1326
JWT 是轻量级的数据交换格式,相对于传统的 Session 机制,JWT 不需要在服务器端存储会话信息,而是将所有必要的信息包含在令牌本身中。之后用户每次请求资源的时候将访问令牌token放在请求头中,服务端在验证其是否有效之后,返回相对应的资源信息。通常包括生成jwt的非隐私信息,用户的唯一标识符id,发行时间iat,到期时间exp。2、在代码controller层引入依赖,在登录、注册的时候生成token。生成token的头信息,通常由两部分组成,包含。通过HMACSHA256加密算法生成的签名。
基于NodeJs+Express+MySQL 实现实现登录注册接口+token生成与解析验证+跨域-CORS
weixin_46408500的博客
05-13 3186
基于NodeJs+Express+MySQL 实现实现登录注册/ 导入写好的注册/登录函数const {regUser,login// 获取客户端提交到服务器的用户信息return res.cc('获取成功', 0, req.user)// 获取到中间件的时间res.send('GET 请求成功');});/*** POST 用户注册* @param username 用户名* @param password 用户密码*/// 通过 req.body 获取请求体中包含的 url-encoded 格式的数据。
expresstoken的配置
2301_76790013的博客
07-27 103
在登录接口中生成token。在app.js文件中配置。
NodeJS(Express框架)实现 Token 验证免密登录 (一)
weixin_40816769的博客
06-24 670
看文章之前,强烈建议先把项目拉取下来!案例来自小弟的开源项目「项目Github」 文章内容只是个人学习的一些总结经验,不具有权威性,这是 Node 服务端的实现,后面会写前端的实现 什么是 Token 验证 常见的 Token 验证方式种: OAuth2,例如:微信授权登录 (貌似也属于 Token 验证) 基于 JWT 的 Token 验证,KiteBlog 里面使用的就是这种。 推荐阅读: JWT 超详细分析 说一说几种常用的登录认证方式,你用的哪种 什么是 JWT (JSON WEB TOKEN
四、使用Express在服务端设置token验证
A_bad_boy_hahaha的博客
06-11 1419
Token令牌的流程 服务端在收到用户的登录请求的时候,验证用户名和密码 验证成功之后,服务端会生成一个Token令牌,并把这个Token发送给客户端 客户端收到Token之后,可以把它存储在LocalStorage中 客户端在每次使用axios发起请求的时候,可以使用请求拦截器把本地存储的Token放在请求头中发送给服务端 服务端收到请求之后,验证请求头中的Token如果验证成功就返回数据, 使用NodeJS生成token 生成Token需要安装两个依赖包 npm i jsonwebtoken
express中生成token
m0_50290552的博客
08-14 828
一、安装第三方包 npm install jsonwebtoken 二、导入 const jwt = require('jsonwebtoken'); 三、使用 生成token let content ={name:req.body.name}; // 要生成token的主题信息,可以是用户的id、用户名等唯一的标识名, //也可以是数据库自己的id(一般使用数据库自己的id即可),但不可以是用户的密码, //类型可以是对象或字符串 let secret="syyyuigfrhygfgi" //
vue+express生成token
江咏之
06-17 1073
在使用vue+node开发的过程中,在写登录时候我们会使用到token验证,下面我来分享一下express生成token和简单的使用,希望对你有所帮助。
实现token无感刷新
04-05
实现Token无感刷新的基本步骤如下: 1. 在Token过期时间设置合理的有效期。 2. 在客户端发送请求时,检查Token是否即将过期。 3. 如果Token即将过期,向服务器发送刷新Token的请求。 4. 服务器验证Token是否有效,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值