node.js中的Token鉴权机制

已于 2023-12-18 08:59:49 修改
阅读量180 收藏
点赞数 7
文章标签: node.js javascript 前端
于 2023-12-18 01:43:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengxiaodi/article/details/135053108
版权

一、什么是Token鉴权,它的作用是?

        Token鉴权是一种基于Token的认证机制,因为http协议是无状态的,不能很好的保证用户身份的合法性以及数据的安全性,而token就用于在网络请求中验证客户端的身份和权限。

二、Token鉴权的原理和工作流程

        Token鉴权机制是基于JSON Web Token(JWT)的一种认证方式。JWT是一种紧凑且自包含的通信方式,它包含用户信息以及签名,可以在客户端和服务器之间进行安全传输。其工作流程如下:

  1. 登录阶段:用户通过提供用户名和密码进行登录。服务端验证这些凭证后,会创建一个Token,并将其发送给用户。
  2. Token的生成:Token通常是由服务端生成的一串唯一标识符,它可能会包含诸如用户ID、用户名、创建时间、过期时间等信息,并且通常会通过一定的加密算法,以确保Token的完整性和安全性。
  3. 传输和保存:用户在随后的请求中需要在HTTP请求的头部(通常是Authorization)携带这个Token。用户端浏览器或应用程序需要保存这个Token,以便在后续的请求中重复使用。
  4. 服务端验证:服务端接收到请求后,会提取请求头中的Token,并进行解签验证,这个过程会确认Token的完整性以及有效性。验证通过后,服务端将执行请求的操作。
  5. Token的续期或更新:为了保证安全性,Token通常会有一个有效期(通常情况下是30分钟至两个小时)。当Token快要过期时,用户可能需要一个新的Token。这时,用户通常会发起一个新的认证请求,服务端会创建一个新的Token并重新发送给客户端,验证通过后允许客户端访问相应资源。

三、Token鉴权机制在Web应用中的实践

1、引入我们需要用到的包并创建实例
//引入
const express = require('express')
const jwt = require('jsonwebtoken')
const { expressjwt } = require('express-jwt')
//创建实例
const app = express()
2、生成token的配置项
const config = {
    jwtSecretKey: 'miyao', // 密钥
    expiresIn: '10m' // 我们先随便给一个有效期
}
3、加载jwt中间件
app.use(express.json()) // 使用中间件解析json参数
app.use(
    expressjwt({
        secret: config.jwtSecretKey,
        algorithms: ['HS256']
    }).unless({
        path: [
            '/users/checkLogin'
        ]
    })
)
4、开始处理用户登录请求,先获取用户名和密码
app.post('/users/checkLogin', (req, res) => {
    const account = req.body.account
    const password = req.body.password
    const user = {
        account: account,
        password: ''
    }
})
5、 根据传递过来的用户名和密码结合过期时间生成token
app.post('/users/checkLogin', (req, res) => {
    const account = req.body.account
    const password = req.body.password
    const user = {
        account: account,
        password: ''
    }
    const tokenStr = jwt.sign(user, config.jwtSecretKey, {
        expiresIn: config.expiresIn
    })
})
6、把生成好的token返回给前端
pp.post('/users/checkLogin', (req, res) => {
    const account = req.body.account
    const password = req.body.password
    const user = {
        account: account,
        password: ''
    }
    const tokenStr = jwt.sign(user, config.jwtSecretKey, {
        expiresIn: config.expiresIn
    })
    if(account === '蒙面大婶' && password === '666') { 
        res.send({
            code: 0,
            msg: '登录成功',
            data: {
                account: account,
                token: 'Bearer ' + tokenStr
            }
        })
    } else {
        res.send({
            code: 1,
            mnsg: '登录失败,用户名或密码错误'
        })
    }
})
7、受保护的资源
app.get('/users/list', (req, res) => {
    res.send(`调用成功,id:${req.query.id}`)
})
8、启动服务器
app.listen(3000, () => {
    console.log('成功启动服务器')
})

四、总结

        Token鉴权作为一种常见的身份验证和授权方式,具有简单、灵活、安全等优点。通过本文的介绍,相信大家对Token鉴权有了更深入的了解。在实际项目中,可以根据业务需求和场景选择合适的Token生成和验证方式,实现安全可靠的身份验证和授权功能。

蒙面大婶l
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nodejs生成JWT Token并在Vue携带token发起请求
鸭绒的博客
10-23 1294
文章目录1.Token简析2. JWT简析3.在Nodejs生成JWT Token 1.Token简析 Token 本质是字符串,用于请求时附带在请求头,校验请求是否合法及判断用户身份。 Token 与 Session、Cookie 的区别: Session 保存在服务端,用于客户端与服务端连接时,临时保存用户信息,当用户释放连接后,Session 将被释放; Cookie 保存在客户端,当客户端发起请求时,Cookie 会附带在 http header ,提供给服务端辨识用户身份; Token
node.js之express的token验证
10-24
基于 express 封装的用户鉴权功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 的用户信息,比如用户 id
nodejs实现token机制
weixin_44303404的博客
09-18 3475
token实际是一种身份验证机制,用来防御CSRF攻击。大致的流程是这样的: 用户输入账号密码,前端进行加密处理后传给后端。后端进行验证。 如果验证通过,后端返回一个token作为用户的身份认证令牌给前端前端token存储起来,使用cookie或者localstorage都可以。 每次进行请求,都将token放在Header,后端获取token之后进行验证:如果token过期,后端返回401错误。如果token没有过期,执行后续操作。 下面通过node来实践一下token机制。 如何创建一个
nodejs token验证登录状态间件 jwt-simple 包使用详解
飞鱼日记的博客
08-09 1744
一、简介 JWT(JSON Web Token) 编码解码模块 二、使用 安装 npm install --save jwt-simple 生成token & 解析token const tokenExpiresTime = 1000 * 60 * 60 * 24 * 7 //秘钥 const jstSecret = 'jstSecret' //需要加密的对象 const payload = { user:'wang', environment:'web', expir
nodejs登录生成token并验证
^_^
08-09 2297
开发者向 API 提供商注册应用程序,并获得一个 API 令牌,以便在应用程序进行身份验证和授权,以访问和使用 API 提供的功能和数据。身份验证:在身份验证过程,用户提供凭据(如用户名和密码),服务器验证凭据的有效性后会颁发一个身份验证令牌给用户。这个令牌可以是一个长期有效的持久令牌,也可以是一个短期有效的临时令牌,用于后续的请求证明用户的身份。它可以是一个字符串、数字或其他形式的数据。验证后会把数据返回出来,就可以当时生成token传过去的数据,有了数据那么我们就可以自行获取用户信息。
nodejs express使用token验证机制
small_white_123的博客
11-21 2525
token身份认证基本概念了解Session认证的局限性什么是tokenjwt的原理jwt的组成JWT的三个部分各自代表的含义jwt的使用方式在express使用jwt定义secret密钥在登录成功后生成 JWT 字符串解析 JWT字符串 还原为JSON对象使用req.user 获取用户信息错误间件前端如何使用token 基本概念 了解Session认证的局限性 Session 认证机制需要配合Cookie才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做
NodeJS 配置token,要求请求头传递token,在koa框架下
小火车况且况且况且的博客
03-20 3901
NodeJS 配置token 首先安装jsonwebtoken第三方模块 npm i jsonwebtoken 文档说明 使用的基本格式 jwt.sign(payload,secret,expiresIn) 其payload是需要保存的数据 secret密匙,在设置token和解析token的时候都需要用到 expiresIn可以设置过期的时间 const jwt= require(...
Node.jsToken鉴权实现详解
2201_75866478的博客
12-18 238
用户登录成功后,服务器生成一个Token,并将其返回给客户端。客户端在后续的请求,将Token作为请求头或参数的一部分发送给服务器。服务器通过验证Token的合法性和有效期,判断用户的身份和权限。根据Token的信息,服务器对请求进行相应的操作。导入所需的模块:定义一个密钥:密钥用于加密和解密Token,在生产环境应该使用更强的密钥。创建一个Token:使用jwt.sign()
Node.jstoken鉴权的使用
weixin_71972062的博客
12-17 178
Node.js鉴权(Authentication)和token通常用于对用户进行身份验证和授权。
Node.js 鉴权令牌解析与实践
zhong_333的博客
12-15 77
在现代 Web 开发,安全性是至关重要的。随着前后端分离架构的普及和复杂性的提升,我们需要一种有效的方式来进行用户身份验证和授权管理。在 Node.js ,使用令牌(Token)来进行鉴权已经成为了一种非常流行和有效的方式。本文将详细介绍 Node.js 常见的鉴权令牌类型,并结合历史背景和实际示例进行解析和实践。鉴权令牌是一种用于验证用户身份和权限的机制。它通过将用户信息进行加密生成一个特定格式的令牌,并在用户请求携带这个令牌来验证用户的身份和权限。
Node.js的Koa实现JWT用户认证方法
01-02
Node.js v8.9.4Javascript运行环境 三、开始动手,一步步来完善 1、创建基础的静态资源服务器、基础架构 以下是基本的代码,实现静态服务器,以及一个当token验证异常时候的处理。 下面我们将在这个基本代码下...
node.js写一个jenkins发版脚本
01-20
在 jenkins 设置里获取 API TOKEN。 把 host 和账号密码拼接起来就可以通过鉴权。 const token = { user: '', password: '', } const host = 'jenkins.xxx.cn'; const basicUrl = `http://${token.user}:${...
Node.js Koa2使用JWT进行鉴权的方法示例
01-20
那么服务器端要如何进行鉴权呢? Json Web Token 简称为 JWT,它定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。 说...
Nodejs-Koa2-island:Node.js Koa2开发微信小程序服务端
05-07
Node.js Koa2 实战开发微信小程序服务端API接口。 项目使用 首先使克隆项目,然后进入项目根目录使用命令安装包,最后命令启动项目,代码会根据模型自动创建数据库表的。 # 克隆项目代码 $ git clone ...
服务端JavaScript(Node.js)与去IO编程:Node.js的事件驱动和非阻塞IO模型,它是如何使JavaScript走向后端的
哎 你看的博客
05-10 405
服务端JavaScript(Node.js)与去IO编程:Node.js的事件驱动和非阻塞IO模型,它是如何使JavaScript走向后端的
物联网与JavaScriptJavaScript在物联网领域的应用,使用Node.jsJavaScript来控制硬件设备
哎 你看的博客
05-11 498
物联网与JavaScriptJavaScript在物联网领域的应用,使用Node.jsJavaScript来控制硬件设备
数电发票、全电发票为什么不是连号的?Node.js发票查验接口集成
最新发布
weixin_49544544的博客
05-11 272
如此智能、高效的发票管理接口集成方法其实很简单,翔云为了便于企业快速实现发票的智能管理,为有需要的用户提供了Java、C#、ios、C++、python、PHP等多种主流开发语言的开发示例,您可直接登录翔云下载更换所需要的产品参数即可。全电发票号码为全国统一赋码,采用的是20位发票号码,其实是连续的。那么,全电发票如何进行真伪查验呢?接口,可查验增值税发票管理系统开具发票的真伪,且可实现增值税专票、增值税普票、数电发票等票据的批量查验。随着企业对于发票使用概率的不断提升,产生的发票数量在不断增多,对此,
Node.js身份证实名认证接口、身份证识别API
weixin_49544544的博客
05-09 368
身份信息核验是联网调用翔云身份信息核验接口,通过OCR识别技术识别身份证信息,同时上传身份证图片,和全国公民身份信息系统的信息进行比对,确认身份证号码,姓名,身份证头像和全国公民身份信息系统的信息一致,已达到核验真伪。翔云OCR身份证查验集合了身份证号核验,身份信息核验,身份核验。
js实现关闭浏览器清除token,关闭标签页不清除token
07-14
要在关闭浏览器时清除 token,但在关闭标签页时不清除 token,可以使用 `beforeunload` 事件来监听页面即将被卸载的情况。在该事件,可以检查页面是否即将被关闭,然后根据需要清除 token。 以下是一个示例代码: ```javascript // 监听 beforeunload 事件 window.addEventListener("beforeunload", function(event) { // 判断页面是否即将被关闭 if (event.clientY < 0) { // 清除 token clearToken(); } }); // 清除 token 的函数 function clearToken() { // 清除 token 的逻辑 // 例如: // document.cookie = "token=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/;"; } ``` 在这个示例,我们使用 `beforeunload` 事件来监听页面即将被卸载的情况。当用户关闭浏览器时,`event.clientY` 的值会小于 0,表示页面即将被关闭。在这种情况下,我们调用 `clearToken()` 函数来清除 token。 请注意,由于浏览器的安全机制,不能直接删除客户端存储的 token。在示例,我们使用了 `document.cookie` 来清除名为 "token" 的 cookie。根据实际情况,你可能需要根据你的身份验证机制来清除 token

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值