一、什么是Token鉴权,它的作用是?
Token鉴权是一种基于Token的认证机制,因为http协议是无状态的,不能很好的保证用户身份的合法性以及数据的安全性,而token就用于在网络请求中验证客户端的身份和权限。
二、Token鉴权的原理和工作流程
Token鉴权机制是基于JSON Web Token(JWT)的一种认证方式。JWT是一种紧凑且自包含的通信方式,它包含用户信息以及签名,可以在客户端和服务器之间进行安全传输。其工作流程如下:
- 登录阶段:用户通过提供用户名和密码进行登录。服务端验证这些凭证后,会创建一个Token,并将其发送给用户。
- Token的生成:Token通常是由服务端生成的一串唯一标识符,它可能会包含诸如用户ID、用户名、创建时间、过期时间等信息,并且通常会通过一定的加密算法,以确保Token的完整性和安全性。
- 传输和保存:用户在随后的请求中需要在HTTP请求的头部(通常是Authorization)携带这个Token。用户端浏览器或应用程序需要保存这个Token,以便在后续的请求中重复使用。
- 服务端验证:服务端接收到请求后,会提取请求头中的Token,并进行解签验证,这个过程会确认Token的完整性以及有效性。验证通过后,服务端将执行请求的操作。
- Token的续期或更新:为了保证安全性,Token通常会有一个有效期(通常情况下是30分钟至两个小时)。当Token快要过期时,用户可能需要一个新的Token。这时,用户通常会发起一个新的认证请求,服务端会创建一个新的Token并重新发送给客户端,验证通过后允许客户端访问相应资源。
三、Token鉴权机制在Web应用中的实践
1、引入我们需要用到的包并创建实例
//引入
const express = require('express')
const jwt = require('jsonwebtoken')
const { expressjwt } = require('express-jwt')
//创建实例
const app = express()
2、生成token的配置项
const config = {
jwtSecretKey: 'miyao', // 密钥
expiresIn: '10m' // 我们先随便给一个有效期
}
3、加载jwt中间件
app.use(express.json()) // 使用中间件解析json参数
app.use(
expressjwt({
secret: config.jwtSecretKey,
algorithms: ['HS256']
}).unless({
path: [
'/users/checkLogin'
]
})
)
4、开始处理用户登录请求,先获取用户名和密码
app.post('/users/checkLogin', (req, res) => {
const account = req.body.account
const password = req.body.password
const user = {
account: account,
password: ''
}
})
5、 根据传递过来的用户名和密码结合过期时间生成token
app.post('/users/checkLogin', (req, res) => {
const account = req.body.account
const password = req.body.password
const user = {
account: account,
password: ''
}
const tokenStr = jwt.sign(user, config.jwtSecretKey, {
expiresIn: config.expiresIn
})
})
6、把生成好的token返回给前端
pp.post('/users/checkLogin', (req, res) => {
const account = req.body.account
const password = req.body.password
const user = {
account: account,
password: ''
}
const tokenStr = jwt.sign(user, config.jwtSecretKey, {
expiresIn: config.expiresIn
})
if(account === '蒙面大婶' && password === '666') {
res.send({
code: 0,
msg: '登录成功',
data: {
account: account,
token: 'Bearer ' + tokenStr
}
})
} else {
res.send({
code: 1,
mnsg: '登录失败,用户名或密码错误'
})
}
})
7、受保护的资源
app.get('/users/list', (req, res) => {
res.send(`调用成功,id:${req.query.id}`)
})
8、启动服务器
app.listen(3000, () => {
console.log('成功启动服务器')
})
四、总结
Token鉴权作为一种常见的身份验证和授权方式,具有简单、灵活、安全等优点。通过本文的介绍,相信大家对Token鉴权有了更深入的了解。在实际项目中,可以根据业务需求和场景选择合适的Token生成和验证方式,实现安全可靠的身份验证和授权功能。