Express中的session和token

最新推荐文章于 2022-10-22 21:54:04 发布
最新推荐文章于 2022-10-22 21:54:04 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: nodejs 文章标签: javascript node.js session 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/k464746/article/details/104845520
版权

文章目录

Express身份验证

  • 在平常我们使用网站时,只需要登录一次即可,之后再访问这个网站就不需要再进行登录操作,本文将介绍Express中的session和token,它们是进行身份验证方法。
  • HTTP 是一种没有状态的协议,也就是它并不知道具体是谁,哪一个用户访问。客户端的用户名密码通过了身份验证,不过下回这个客户端再发送请求时,还需要再进行验证。
  • 本文的身份验证省略了在数据库中对比的操作,默认请求接口即为登录成功。

session

思想

1、客户端用户名跟密码请求登录
2、服务端收到请求,去库验证用户名与密码
3、验证成功后,服务端种一个cookie或发一个字符到客户端,同时服务器保留一份session
4、客户端收到 响应 以后可以把收到的字符存到cookie
5、客户端每次向服务端请求资源的cookie会自动携带,这个操作由前端完成
6、服务端收到请求,然后去验证cookie和session,如果验证成功,就向客户端返回请求的库数据

代码
  • 1.初始化npm init -y
  • 2.安装引入expressnpm i express
  • 3.安装引入中间件cookie-sessionnpm i cookie-session
  • 4.配置中间件
  • 5.进行各种操作
    • 在客户端种cookie,备份sessionreq.session.key=value
    • 读cookie对比sessionreq.session.key 返回值为true 说明身份验证通过
    • 除cookie、sessiondelete req.session.key req.session.key = undefined
  • 6.模拟登录、验证、退出登录操作
// 引入express  和  cookie-session中间件
const express=require('express')
const cookieSession=require('cookie-session')

// 搭建服务器
const server=express()
// 静态资源托管    后面填写静态资源目录
server.use(express.static('./WWW'))
// 监听端口
server.listen(3000)


// 配置中间件
server.use(cookieSession({
    name:'mycookie',  //后端给前端种的cookie 名字       如果不写默认为 express:sess
    keys:['aaa'],//加密层级  一定要填写  否则报错
    maxAge:1000*30  //cookie的失效时间  毫秒为单位  30秒后失效
}))

// 设置登录接口  验证用户身份  登录成功后 在前端种 cookie
server.get('/api/login',(req,res)=>{
    // 1.检验客户端传来的用户名密码是否与数据库中的一致   省略步骤    默认正确
    // 2.给客户端种cookie   服务端保留一份session
    req.session.code='userId'
    // 3.后端种完cookie  给前端返回数据
    res.send({
        err:0,
        msg:'恭喜您,登录成功!',
        data:{
            username:'王富贵'
        }
    })
})



// 验证接口  判断用户是否登录  即验证cookie和session
server.get('/api/user',(req,res)=>{
    //如果  验证成功  返回  req.session.code 的值为  登录时设置的'userId'
    let pass=req.session.code
    if(pass){
        res.send({
            err:0,
            data:'用户已经登录',
        })
    }else{
        res.send({
            err:1,
            data:'用户未登录或登录过期了',
        })
    }
})


// 退出登录
server.get('/api/loginout',(req,res)=>{
    //两种方式  删除cookie,session

    delete req.session.code
    // req.session.code=undefined

    res.send({
        err:0,
        data:'退出登录成功'
    })
})
运行
  • 登录
    在这里插入图片描述
  • 验证是否登录
    在这里插入图片描述
  • 退出登录
    在这里插入图片描述
  • 验证是否登录
    在这里插入图片描述

token

思想
  • 与session的不同
    • 在服务端不需要存储用户的登录记录,全部发给客户端有客户端自己存(cookie,local)
  • 步骤
    1、客户端使用用户名跟密码请求登录
    2、服务端收到请求,去验证用户名与密码
    3、验证成功后,服务端会签发一个 Token(加了密的字符串),再把这个 Token 发送给客户端
    4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
    5、客户端每次向服务端请求资源的时候需要带着服务端签发的 Token (前端操作)
    6、服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
代码

  • 1.初始化npm init -y

  • 2.安装引入expressnpm i express

  • 3.安装引入中间件jsonwebtokennpm i jsonwebtoken

  • 4.配置中间件

  • 5.进行各种操作

    • 生成签名let token = jwt.sign(payload, secretOrPrivateKey, [options, callback])
      • payload: json 还有username,userid
      • secretOrPrivateKey: 加密规则,字符串,或者私钥path模块
      • options: 可选配置项
      • callback: 成功回调, 可选 返回制作后的token,也可同步返回
    • 校验token
      • jwt.verify(token, secretOrPublicKey, [options, callback])
      • token: 制作后的token
      • secretOrPublicKey: 解密规则,字符串,或者公钥
        -callback:回调 err 错误信息 decode 成功后的信息
      • options: expiresIn 过期时间

  • 6.模拟登录、验证、退出登录操作

const express=require('express')
//使用  req.body post的请求的数据   需要用到body-parser中间件
const bodyParser=require('body-parser')
//引入  jsonwebtoken模块
const jwt=require('jsonwebtoken')

const server=express()
server.use(express.static('./WWW'))
server.listen(3000)

// 使用中间件boy-parser
server.use(bodyParser())



// 登录   服务端生成token令牌
server.get('/api/login',(req,res)=>{
    // 1.获取用户名,密码进行数据库验证   默认成功
    // 2.生成token令牌  
    let token=jwt.sign({
        //前端传递的用户名
        username:req.query.username

        // 'aaa'加密规则  解密时也按照这个规则
    },'aaa',{
        //过期时间 以秒为单位
        // expiresIn:60   //  过期时间   60秒
    })

    // 3.将token传给前端  前端把存储起来
    res.send({
        err:0,
        msg:'登录成功',
        token
    })
})



// 验证登录
server.get('/api/user',(req,res)=>{
    //1.获得前端传递来的token     可以是get,post请求传递 也可以在请求头
    let token=req.query.token || req.body.token || req.headers.token;
    //2.token  检验token
    jwt.verify(token,'aaa',(err,decode)=>{
        console.log('err',err)  //null 表示没有报错
        console.log('decode',decode)
        if(!err){
            // 没有报错  数据返回给前端
            res.send({
                err:0,
                data:'用户登录成功'
            })
        }else{
            //报错  说明登录失败
            res.send({
                err:1,
                data:'登录失败,token失效了'
            })
        }
    })

    
})



// 退出登录
// 由前端操作  删除存储的  token
运行
  • 登录
    在这里插入图片描述
  • 验证登录 将token放在req.query.token
    在这里插入图片描述
  • 退出登录
    在这里插入图片描述

session与token

  • session服务端保存用户信息,token不是
  • token安全性更高
  • session存在多服务器粘性问题
    • 当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“未认证”的响应。你可以通过一个粘性 session 解决这个问题。然而,在基于 token 的认证中,这个问题很自然就被解决了。没有粘性 session 的问题,因为在每个发送到服务器的请求中这个请求的 token 都会被拦截
前端魔法师
关注
专栏目录
身份验证、express-sessiontoken、jsonwebtoken
CIA的博客
11-12 930
身份验证 ​ HTTP 是一种没有状态的协议,也就是它并不知道是谁访问(或者说,没法区分,每次的访问和以前哪次的访问来自同一个客户端)。客户端用户名密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证 session(会话) 思想 ​ 1、当用户打开浏览器,首次访问某个网站(服务器),服务器会产生一个唯一的编号(sessionId),在响应时,把该编号发给客户端,客户端把该编号存储在cookie里。 ​ 2、当用户二次访问(如:点击超链)服务器,那么,请求
sessiontoken node(express)+vue
weixin_46264539的博客
04-12 196
sessiontoken 1.node所需session的插件和配置 cookie-parser -S express-session -S 下载后然后在app.js引入插件 接着配置session的基本信息 储存时长 //设置 session间件 --- 必须写在路由间件前面 用来保存用户登陆后的数据 app.use(session({ name: "AppTest", cookie: { maxTime: 1000 * 60 * 24 }, //设置 session
Express:接口tokensession配置
读心悦
10-22 459
base64是一种基于64个可打印字符来表示二进制数据的方法,但是base64并不是一个安全的加密方法,它仅仅是是起到编码的作用,不能用来加密。3、当客户端再次访问服务器的时候,需要携带之前的凭证【cookie】,然后服务器从session查找该用户保存的状态,1、当用户从客户端访问服务端时候,服务器把用户状态以某种形式记录在服务器上,这个记录的内容就是session的内容;2、客户端从服务器获取一个凭证的时候,并且将该凭证存储在浏览器上,这是存储的内容就是cookie的内容;
express+session实现简易身份认证
weixin_33893473的博客
12-07 191
本文摘录自《Nodejs学习笔记》,更多章节及更新,请访问 github主页地址。欢迎加群交流,群号 197339705。 文章概览 本文基于expressexpress-session实现了简易的登录/登出功能,完整的代码示例可以在这里找到。 环境初始化 首先,初始化项目 express -e 然后,安装依赖。 npm install...
Express教程06:Session(完结)
weixin_34216107的博客
06-01 109
阅读更多系列文章请访问我的GitHub博客,示例代码请访问这里。 Session介绍 Session存储在服务器,但它并不独立使用,而是与Cookie或配合使用。 也就是说,在Cookie存储了一个ID,服务端在接收到Cookie时对ID进行校验,只有通过校验才可以进行下一步处理,否则将让用户重新登录。 Session相对单纯的Cookie校验而言比较安全,但也有可能发生Session劫持。 使...
Authentication:基于tokensession的示例
05-11
基于tokensession的示例 master分支: jwt实现登陆鉴权 token-redis分支: redis数据库管理token实现服务端注销jwt express-jwt分支: express-jwt间件的使用 session分支: session实现登陆鉴权 session-redis...
鉴权大全(cookie、sessiontoken、jwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1465
鉴权大全(cookie、sessiontoken、jwt、单点登录),深入理解和搞懂鉴权
express登录返回token并进行token验证
qq_35385241的博客
04-21 1218
使用express做登录token验证如下: 1. 用户登录成功后,使用jsonwebtoken生成token并返回 Install npm install jsonwebtoken usage const jwt = require('jsonwebtoken'); jwt.sign({ exp: Math.floor(Date.now() / 1000) + (60 * 60), data: 'foobar' }, 'secret', (err, token) => { consol
express使用token实现登录操作
qq_24986271的博客
07-15 946
但是由于没次请求就会自动带上cookie,这有一定安全问题,例如当你之前登录过某个银行网站,他们使用session的方式,你再在某个钓鱼网站点击别人定制的链接,就可能在钓鱼网站登录了银行网站执行某些操作,因为这种不受浏览器同源策略限制,而使用token,他一般不会自动提交,就没有这个问题了,钓鱼网站无法获得token。其1.setToken是生成一个加密的token字符串,我这里定义的参数是(用户名,用户id,过期时间),(3)前端查看有没有token,有的话,存储到localStorage,...
node.jsexpresstoken验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 的用户信息,比如用户 id
Nodejs进阶:express+session实现简易登录身份认证
01-20
文档概览 本文基于expressexpress-session实现了简易的登录/登出功能,完整的代码示例可以在这里找到。 环境初始化 首先,初始化项目 express -e 然后,安装依赖。 npm install 接着,安装session相关的包。 npm install --save express-session session-file-store session相关配置 配置如下,并不复杂,可以见代码注释,或者参考官方文档。 var express = require('express'); var app = express(); var session = req
vue token过期 当前页数据丢失_彻底搞懂TokenSession和Cookie
weixin_39785524的博客
11-20 715
Cookie、SessionToken对于从事Web开发的程序员来说并不陌生,它们都是会话状态的一种解决方案。Http协议无状态的特点导致程序无法区分多次请求是否是同一个用户发起,所以,我们就用tokensession和cookie的技术来解决无状态的问题。1、TokenToken顾名思义就是令牌、凭证、钥匙,只有这把钥匙,你才能打开门。Token一般都是服务端生成,比如一个web系统,用户登...
Node.js使用JWT完成用户认证机制
weixin_48456678的博客
02-17 600
了解Session认证的局限性 Session认证机制需要配合Cookie才能实现。由于Cookie默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口时,需要做很多额外的配置,才能实现跨域Session认证。 当前端请求后端不存在跨域问题时,推荐使用session。 当前端请求后端存在跨域问题时,推荐使用JWT。 JWT认证机制 用户的信息通过 Token 字符串的形式,保存在客户端浏览器。服务器通过还原 Token 字符串的形式来认证用户的身份。 JWT 组成部分: Header、Paylo
@cacheable 设置过期时间_localStorage 设置过期时间?
weixin_39684995的博客
11-25 1034
1、如何不刷新页面改版URL参数 window.history.pushState(state,title,url)pushState() 带有三个参数: 一个状态对象, 一个标题, 以及一个可选的URL地址。 state: 一个与添加的记录相关联的状态对象,主要用于popstate事件。该事件触发时,该对象会传入回调函数。也就是说,浏览器会将这个对象序列化以后保留在本地,重新载入这个页面的...
Nginx + node.js + express-session 竟然每次获取的session id不同/不一样
u014786330的博客
08-19 1380
Nginx + node.js + express-session 竟然每次获取的session id不同/不一样. 有没有遇到这种情况,却怎么也查不出原因的?查完奔溃了,我去,这么简单? 用node.js的不同路由,竟然每次请求得到的session id不一样. 打开浏览器开发者模式吧, 查看一下第一个请求的[Response Headers], 发现没有Set-Cookie字段. 1. 于是开始搜索相关解决问题的方法,有的说跨域问题,于是解决了跨域,还是不行. 2. 有的说多进程直接存储在内存
session与jwt 认证机制
u012138854的博客
11-19 620
1.什么是身份认证 身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 ⚫ 日常生活的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。 ⚫ 在 Web 开发,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。 2.不同开发模式下的身份认证 ① 服务端渲染推荐使用 Session 认证机制 ② 前后端分离推荐使用 JWT 认证机制 1. Session 认证机制 1. HT
基于express框架的Token实现方案
致我那些年搬过的砖
05-10 2334
https://www.cnblogs.com/hlere/p/6668159.html?utm_source=itdadao&utm_medium=referral
做验证码登录时,同一个request的session却不同
jikuaxian4161的博客
04-17 1166
这个问题困扰了我好久,按理说 在获取验证码的请求getsession().setAtribute()后session是保存在request域的,但是点击登录后,request相同,里面的session却不同,网上也没有找到具体办法。而且前几天就可以,突然就就不行了,本以为是tomcat版本问题,换了tomcat版本依然一样,在想前几天为什么就可以呢?我尝试换了浏览器,结果居然可以!!可能是原来...
遇到个问题,node.js express-session,当页面刷新的时候后台无法获取设置的session字段值
Alisa_Sheng的博客
02-11 1004
源码太长就不上了,简单描述一下问题: 当用户成功登录的时候设置sission字段值:req.session.login='1'; 然后前台进行跳转到主页,但是问题来了:我居然在主页面的路由拿不到login的值? console.log(req.session.login)//控制台输出为 underfined 这就让我百思不得其解了:难道是前台没有吧cookie发送给后台吗? 这不应该呀, ...
express session设置过期的时间_彻底搞懂TokenSession和Cookie
最新发布
05-15
TokenSession和Cookie都是用于身份验证和授权的机制,但它们的实现方式不同。 Cookie是一种在客户端存储数据的机制,可以在客户端设置过期时间。它可以用于存储用户的身份信息,在每次请求时发送到服务器端进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值