token认证、Express中实现token的过程

已于 2023-01-05 10:36:57 修改
阅读量1.4k 收藏 8
点赞数 1
文章标签: 服务器 网络 前端
于 2023-01-03 19:59:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74343097/article/details/128537888
版权

一、token认证

1. 什么是token

        token的意思是“令牌",是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。

       简单token的组成:uid(用户唯一的身份标识)、time(当前时间的时间翻)、sign (签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

2. 作用

​ (1)防止表单重复提交

       主要的理念是:客户端初始化的时候(一般就是刚刚进入页面的时候)就调用后端代码,后端代码生成一个token,返回给客户端,客户端储存token (可以在前台使用Form表单中使用隐囊域来存储这个Token,也可以使用cookie),然后就将request(请求)中的token与(session)中的token进行比较

​ (2)进行身份验证

       1)身份认证概述
       由于HTTP是一种没有状态的协议,它并不知道是谁访问了我们的应用。这里把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下次这个客户端再发送请求时候,还得再验证一下

       通用的解决方法是:当用户请求登录的时候,如果没有问题,在服务端生成一条记录,在这个记录里可以说明登录的用户是谁然后把这条记录的id发送给客户端,客户端收到以后把这个id存储在cookie里,下次该用户再次向服务端发送请求的时候,可以带上这个cookie,这样服务端会验证一下cookie里的信息,看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。

       以上所描述的过程就是利用session,那个id值就是sessionid。我们需要在服务端存储为用户生成的session,这些session会存储在内存,磁盘,或者数据库

       2)传统的身份认证方式:

  • cookie:在服务器端生成,保存在客户端
  • session:在服务器端生成,保存在服务器端

       3)基于token机制的身份认证:在服务器端不需要保存用户的身份信息,流程如下:

  • 客户端使用用户名和密码请求登录。
  • 服务端收到请求,验证用户名和密码。
  • 验证成功后,服务端会生成一个token,然后把这个token发送给客户端。
  • 客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。
  • 客户端每次向服务端发送请求的时候都需要带上服务端发给的token。
  • 服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。

       4)token的本质:是对用户的信息进行加密、解密,因此保存在客户端的token是加密后的一个字符串

 3. 在Node.js中实现token认证:即在前后分离的项目中实现token认证

​ (1)node项目使用JWT模块:JsonWebToken,实现token认证

​       JWT:JsonWebToken,是一种身份认证和授权的方案,即客户端向服务器发送请求时,在请求信息中携带token,服务器端接收到请求信息后,对token进行验证,若验证通过则向客户端响应数据。

​ (2)JWT中的函数:

​ ​       a、sign(payload, secretOrPrivateKey, [options, callback]):sign(加密的数据,加密的密钥,其他参数);返回值一个字符串(即加密后的字符串)

  • ​ payload:需要加密的内容
  • ​ secretOrPrivateKey:加密字符串或密钥文件
  • ​ options:其他参数
  • ​ {  expiresIn:有效时间 // 如 ‘6h’ 、‘1d’  }

​ ​       b、verify(token, secretOrPublicKey, [options, callback]):返回值是逻辑值(true/false),验证token,token字符串一样、密钥也必须一致

  • ​ token:token字符串
  • ​ secretOrPublicKey:加密时用的密钥
  • ​ options:是参数列表

​       ​ c、decode(token [, options]):解密方法,返回的是明文

  • ​ token:token字符串
  • ​ options:是一个逻辑值(true/false)。是否以同步方式解码

(3)token验证的流程

    1)第一次向服务器发起登录请求时,没有token信息

    2)当用户登录后,在服务器端生成token(token中包含哪些信息由用户决定),然后将token响应给客户端

    3)当客户端接收到服务器端响应的token后,将token存入本地的缓存中(如local Storage、cookie)

    4)当客户端再次访问服务器时,需要在请求头中包含token;服务器在接收到客户端的请求后,先查找客户端的请求头中是否有token,若没有,则表明该用户是非法用户,就不响应任何数据;若有token,则表明该用户是合法用户,就响应数据

二、Express中实现token的过程

1. 安装、导入JsonWebToken模块

2. 在登录接口中生成token并响应给客户端

3. 在客户端将接收到的token保存到本地缓存

4. 当客户端再次访问(包括未登录的访问——非法访问)服务器,服务器端会对token进行验证

5. 客户端每次向服务器发起请求时都必须携带token,否则视为非法用户

鸣鲷有柒
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token】一.token的作用;二.Express实现token的方法
weixin_44892365的博客
01-03 1014
token】一.token的作用;二.Express实现token的方法
node.js之expresstoken验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 的用户信息,比如用户 id
Expresstoken认证 实现无感刷新token
YN2004的博客
03-29 777
以上就是我本章要分享的内容了,写的不好请见谅,希望通过本章,可以让你对双token有一个大概的理解。
express.js--生成token(二)
最新发布
m0_59203969的博客
05-21 298
expess生成token
express简单的使用token
ananzhangwei的博客
05-12 1725
简单的实现express实现token
NodeJSExpress框架实现用户登录,注册,及接口token授权验证
junkaione的博客
01-25 6400
后端开发,用户登录,注册,及其他接口的token验证是必需的,以前开发时会在用户登录时存一个session,但是现在token验证的方式更多也更好。这篇文章教大家实现密码加密保存及解密验证,还有token生成及验证。
四、使用Express在服务端设置token验证
A_bad_boy_hahaha的博客
06-11 1474
Token令牌的流程 服务端在收到用户的登录请求的时候,验证用户名和密码 验证成功之后,服务端会生成一个Token令牌,并把这个Token发送给客户端 客户端收到Token之后,可以把它存储在LocalStorage 客户端在每次使用axios发起请求的时候,可以使用请求拦截器把本地存储的Token放在请求头发送给服务端 服务端收到请求之后,验证请求头Token如果验证成功就返回数据, 使用NodeJS生成token 生成Token需要安装两个依赖包 npm i jsonwebtoken
基于express框架的Token实现方案
diaolin4794的博客
04-07 432
什么是Token? 在计算机身份认证是令牌(临时)的意思,在词法分析是标记的意思。一般我们所说的的token大多是指用于身份验证的token Token的特点 随机性 不可预测性 时效性 无状态、可扩展 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,验证登录是否成功 验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息 客...
js-express-bearer-token:Express承载令牌间件
05-11
根据此模块将尝试从以下位置的请求提取承载令牌: 请求正文的键access_token 。 请求参数的键access_token 。 标题Authorization: Bearer <token> 。 (可选)使用键access_token从cookie标头获取令牌。 如果...
token的两种验证方式
05-17
在单接口版的实现Token验证通常与接口的业务逻辑紧密关联。这可能意味着每个需要验证的接口都需要包含验证逻辑,增加了代码重复。为了优化,可以创建一个通用的Token验证函数,然后在每个接口内部调用它。 四、...
Node登录权限验证token验证实现的方法示例
10-15
1. **无状态请求**:在RESTful API设计token允许服务端不存储会话状态,每个请求携带足够的认证信息。 2. **保持用户登录状态**:用户登录后,通过token在后续请求证明其身份,避免频繁登录。 3. **第三方登录...
express-oauth:Express的最小Oauth实现
05-01
最小实现 注意:强烈建议使用TLS 要求 NodeJS v9.3.0 + 猫鼬v5.0.9 + 安装 $ npm install --save @lykmapipo/express-oauth 用法 'use strict' ; //ensure mongo uri process . env . MONGODB_URI = ( process . ...
Express】JWT(JSON Web Token)的使用
m0_59183852的博客
02-09 484
在其紧凑的形式,JSON Web Tokens的三个部分组成,这三个部分用点(.)连接在一起就组成了JWT字符串,它们分别是:头部(Header)有效载荷(Playload)签名(Signature)因此,JWT看起来像如下形式的字符串:xxxx.yyyy.zzzz头部通常由两部分组成:令牌的类型,即JWT,以及所使用的签名算法,例如HMAC SHA256或RSA。如:然后,对这个JSON进行Base64Url编码,形成JWT的第一部分。令牌的第二部分是有效载荷,其包含声明。声明是关于实体(通常是用户)
node之生成tokenexpress框架)
wanbiaoTT的博客
02-25 742
废话不多说 首先安装jsonwebtoken 模块 npm install jsonwebtoken 生成token最好配置相应的模块然后在需要使用的地方引入即可,不要在登录的时候直接在接口里写,代码会很乱 引入jwt,然后写token生成函数 通过jwt.sign签名方法使用规则,秘钥,有效时间来生成一个token const jwt = require('jsonwebtoken') let setToken = function(str1,str2){ let user = str1;
vue+nodejs+express+jwt如何生成并处理token
weixin_54218079的博客
11-27 675
vue处理token,nodejs使用jwt生成并校验token
JWT的token登录详解及项目实操流程
Shaw_Jie的博客
11-08 2409
jwt的token登录实际操作流程,详细操作,分三部分,封装生成token、验证token的函数,搭建服务器,调接口设间件验证token
node使用jsonwebtoken实现身份认证
jieyucx的博客
07-27 1703
jwt介绍JWT)是一种基于JSON的开放标准,用于在网络上以安全方式传输声明。JWT通常用于身份验证和授权。它是一种可自包含的身份认证机制,由三部分组成头部、载荷和签名。JWT的头部和载荷都是使用Base64编码后的JSON字符串,签名是由头部和载荷使用密钥进行哈希计算得到的字符串。JWT可以在客户端和服务器之间传输,并且可以在传输过程防止数据被篡改。由于它是无状态的,因此可以简化Web应用程序的开发和维护。在本文,我们探讨了如何在Node.js的Express框架使用来实现身份认证
Node使用jsonwebtoken
weixin_73235090的博客
12-03 171
该项目是一整个专栏,主要是使用node+express+ts+mysql,来完成一个小程序+后台管理的node后端项目,喜欢的可以订阅此专栏。
express怎么写token
05-18
Express ,使用 JSON Web Token (JWT) 生成和验证 token。下面是一个简单的示例: 首先,安装 jsonwebtoken 模块: ``` npm install jsonwebtoken ``` 然后,在需要生成 token 的地方引入模块: ```javascript const jwt = require('jsonwebtoken'); ``` 接下来,创建一个路由,用于生成 token: ```javascript app.post('/login', (req, res) => { // 在这里验证用户的用户名和密码 const username = req.body.username; const password = req.body.password; // 如果验证通过,则生成 token const token = jwt.sign({ username }, 'secret key', { expiresIn: '1h' }); // 将 token 返回给客户端 res.json({ token }); }); ``` 在上面的示例,使用 `jwt.sign()` 方法生成 token。第一个参数是一个对象,用于存储需要在 token 保存的数据。第二个参数是一个字符串,用于指定加密的密钥。第三个参数是一个选项对象,用于设置 token 的过期时间。 最后,客户端在需要访问受保护的路由时,需要在请求头传递 token: ```javascript axios.get('/protected', { headers: { Authorization: `Bearer ${token}` } }); ``` 在服务器端,可以使用 `jwt.verify()` 方法验证 token: ```javascript app.get('/protected', (req, res) => { const token = req.headers.authorization.split(' ')[1]; try { const decoded = jwt.verify(token, 'secret key'); console.log(decoded); // { username: 'xxx', iat: xxx, exp: xxx } // 在这里处理受保护的请求 res.json({ message: 'Access granted' }); } catch (err) { res.status(401).json({ message: 'Invalid token' }); } }); ``` 在上面的示例,使用 `jwt.verify()` 方法验证 token,并且从 token 解码出存储的数据。如果验证通过,则处理受保护的请求,否则返回 401 错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值