【node.js】session认证机制、JWT认证机制进行鉴权

最新推荐文章于 2023-12-15 09:21:34 发布
最新推荐文章于 2023-12-15 09:21:34 发布
阅读量247 收藏
点赞数 2
分类专栏: node.js 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/micoria/article/details/116196647
版权

由于 用户进行访问 浏览器时,需要完成对用户身份的确认。称为身份验证,或者“鉴权”和“身份认证”。需要身份认证使用 session认证机制 或者 JWT 认证机制。

由于开发模式不同,身份认证也不同。

对于服务器渲染和前后端分离这两种开发模式来说,分别有不同的身份认证:

  • 服务端渲染:即前后端不分离,推荐使用 session 认证机制,有利于 SEO,不存在跨域。
  • 前后端分离:推荐使用 JWT 机制,在后台加载速度快。可以跨域

一、session 认证机制

由于 HTTP 协议 是无状态性(每次HTTP 请求都是独立的,多个HTTP请求没有直接关系,服务器不会主动保留每次HTTP请求的状态),所以解决这一无状态的限制,需要一个身份认证的方式进行存储识别,在Web开发的专业属于叫做 Cookie。session 认证机制 需要 配合 cookie 才能实现。

1. cookie

cookie 是 存储在 用户浏览器中不超过 4kb 的字符串。

是由键值对的方式,和其他用于控制 cookie 的有效期,安全性,使用范围的可选属性存在。

客户端第一次请求服务器时,服务器通过响应头的形式,会将未过期的cookie自动发送到客户端,自动存储在客户端,每次都请求携带cookie;客户端通过 请求头,自动将 cookie 发送给服务器,服务器就可以验证客户端的身份;再响应到客户端。
在这里插入图片描述

  • cookie 存储在 客户端,而且 客户端提供了 读写cookie 的API,因此就很容易被伪造。
    • 应用场景
      1. 保存用户上次登录的信息
      2. 用户的自动登录(或者记住密码)
      3. 上一次浏览的信息

2. Session 的工作原理

  • 由于 cookie 的安全性不高,所以使用 session 认证机制。
  • 将用户信息存储到 服务器的内存中,之后会生成对应的 cookie 字符串中,将生成的cookie相应到客户端。然后客户端再次发起请求,执行上面cookie相关的操作。
  • session 是在 cookie 的基础上进行。
2.1 express-session 实现 session 机制
  1. npm i express-session
  2. 配置 session 中间件
  3. 向 session 中 存储数据,通过 req.session 访问 和 使用 session 对象
  4. 从 session 中 获取数据,直接从 req.session 对象上 获取之前存储的数据
  5. 清空 session ,使用 req.session.destory() 函数,就可以清空服务器保存的 session 信息

二、JWT 认证机制

由于 session 认证机制 需要配合cookie才能实现,cookie 默认不支持跨域访问,所以,当涉及前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 session 认证。

  • 当前端请求后端接口不存在 跨域问题的时候,推荐使用 session 身份认证机制
  • 当前端需要 跨域 请求后端接口的时候,不推荐使用 session 身份认证机制,推荐使用 JWT 认证机制。

1. 什么是 JWT

JWT 是目前 最流行的跨域认证解决方案。

JWT 有 三个部分,都代表各自的含义。

Header.Payload.Signature

//  其中 Header 头部,Payload 有效荷载,Signature 签名

Payload  部分才是真正的用户的信息,它是用户信息经过加密之后生成的字符串
Header、Signature  是安全性相关的部分,只是为了保证 token 的安全性

2. JWT 工作原理

在这里插入图片描述

2.1. express-jwt 实现 JWT 机制

客户端收到服务器返回的 JWT 之后,通常会将 token 值存储到
Local Storage 或者 Session Storage 中。
此后,客户端每次和服务器通信,都要带上 JWT。
推荐做法:

Authorization :Bearer <token>
  1. npm i jsonwebtoken express-jwt
  2. 导入 JWT 相关的包
    • const jwt = require(‘jsonwebtoken’)
    • const expressJWT = require(‘express-jwt’)
  3. 定义 secret 密钥
    • const secretKey = ‘itheima No1 _
  4. 在登陆成功后,生成 token 字符串
    • 调用 jsonwebtoken包提供的 sign() 方法,将用户信息加密成 JWT字符串。千万不要将密码加密到 token 字符中
    • jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: ‘30s’ })
  5. 注册,将 JWT 字符串还原为 JSON 对象的中间件(解密)
    • app.use(expressJWT({ secret: secretKey }).unless({ path: [/^/api//] }))
    • 其中 unless 是除了某个页面不进行 生成token字符串
micoria
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端开发:关于鉴权的使用总结
软贱开发攻城狮
12-27 1902
前端开发过程中,关于鉴权(权限的控制)是非常重要的内容,尤其是前端和后端之间数据传递时候的请求鉴权校验。前端鉴权的本质就是控制前端视图层的显示和前端向后台所发送的请求,但是只有前端鉴权,没有后端鉴权是非常不合理的,前端的鉴权只是起到一个锦上添花的作用,虽然在前后端开发中程序的鉴权核心是在后端,但是前端鉴权也是很有必要的。那么本篇博文就来分享一下前端关于鉴权的使用总结,记录一下,方便查阅使用。前端鉴权,也叫前端身份认证,指的是验证用户是否具有系统的访问权限。
JWT 身份认证鉴权机制
闫创新的博客
06-11 608
token 生成 1.https://auth0.com/blog/securing-asp-dot-net-core-2-applications-with-jwts/ token 生成与解析 2.https://github.com/AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet ...
Node如何实现jwt鉴权机制?说说你的思路
web秀
05-10 493
一、是什么 JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息 在目前前后端分离的开发过程中,使用token鉴权机制用于身份验证是最常见的方案,流程如下: 服务器当验证用户账号和密码正确的时候,给用户颁发一个令牌,这个令牌作为后续用户访问一些接口的凭证 后续访问会根据这个令牌判断用户时候有权限进行访问 Token,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以.进行拼接。其中头部和载.
Node.js 中的鉴权令牌解析与实践
最新发布
zhong_333的博客
12-15 134
在现代 Web 开发中,安全性是至关重要的。随着前后端分离架构的普及和复杂性的提升,我们需要一种有效的方式来进行用户身份验证和授权管理。在 Node.js 中,使用令牌(Token)来进行鉴权已经成为了一种非常流行和有效的方式。本文将详细介绍 Node.js 中常见的鉴权令牌类型,并结合历史背景和实际示例进行解析和实践。鉴权令牌是一种用于验证用户身份和权限的机制。它通过将用户信息进行加密生成一个特定格式的令牌,并在用户请求中携带这个令牌来验证用户的身份和权限。
前端项目中的鉴权是如何实现的?
Jadon_z的个人博客
09-14 1769
前端项目中的鉴权是如何实现的?
微信公众号全局返回码
Jason_WangYing的博客
08-22 511
公众号每次调用接口时,可能获得正确或错误的返回码,开发者可以根据返回码信息调试接口,排查错误。官方地址:https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Global_Return_Code.html 全局返回码说明如下: 返回码 说明 -1 系统繁忙,此时请开发者稍候再试 0 请求成功 40001 获取 access_token 时 AppSecret 错误,或者 access_toke
钉钉企业内部H5微应用JSAPI纯前端鉴权流程
NOIFNOIFNOIF的博客
09-20 3253
钉钉开发文档,它给出了两个JSAPI的鉴权demo,分别是java和php的,需要前后端配合,而我们此次做的项目用了纯前端鉴权的方法,实现鉴权的前后端分离。permissionType: 'xxx', // 可添加权限校验,选人权限,目前只有GLOBAL这个参数。// 钉钉JSAPI。timeStamp: timeStamp, // 必填,生成签名的时间戳。调用钉钉接口https://oapi.dingtalk.com/gettoken。nonceStr: 'test', // 必填,生成签名的随机串。
Node.js的Koa实现JWT用户认证方法
01-02
本文介绍了Node.js的Koa实现JWT用户认证方法,分享给大家,具体如下: 一、前置知识 基于Token的身份验证 Koajs 中文文档 Koa 框架教程 二、环境 Microsoft Visual Studio 2017集成开发环境 Node.js v8.9.4...
Node.js Koa2使用JWT进行鉴权的方法示例
10-18
本文将深入探讨如何在Node.js Koa2框架下利用JSON Web Token(JWT进行鉴权JWT是一种标准,用于在两个不同的系统之间安全地传递信息,其特点是轻量级、自包含且可验证。在Koa2中,JWT通常与`jsonwebtoken`库和`...
详解Node.js使用token进行认证的简单示例
10-15
在本文中,我们将深入探讨如何在Node.js环境中使用Token进行认证,特别是通过JSON Web Tokens (JWT) 实现这一过程。JSON Web Tokens 是一种安全的身份验证机制,常用于API和单页应用程序。在这个简单的示例中,我们...
node.js----数据库,身份认证SessionJWT
m0_63348818的博客
03-13 341
文章目录数据库和身份认证Node 操作 mysql配置 mysql 模块操作 mysql 数据库Web 开发模式服务端渲染前后端分离如何选择身份认证Session 认证机制Session 工作原理Express 中使用 Session 认证JWT 认证机制JWT 工作原理Express 使用 JWT 数据库和身份认证 Node 操作 mysql 配置 mysql 模块 1.安装 mysql 模块 npm install mysql 2.建立连接 const mysql = require('mysql')
jwt使用详解
u013029883的博客
08-10 2050
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
node.js(第七章)登录鉴权的方式一Cookie&Session
微光无限的博客
08-03 531
node.js(第七章)登录鉴权的方式一Cookie&Session
jwt实现token鉴权(nodejs koa)
hello ice cream
09-05 643
为什么需要token? 在后台管理系统中,我们通常使用cookie-session的方式用于鉴权, 如何通过cookie、session鉴权(nodejs/koa)但这种方式存在着以下问题 比如cookie的容量太小 浏览器端和app端发送http请求时携带cookie会有差异 分布式系统和服务器集群保证如何保证sessionId是相同 基于以上问题,有了token这种方式,token的鉴权不受浏览器或app端的限制,通用性安全性都更强。 数据格式实现token的鉴权方式通常使用jwt,即json we
node.js搭建接口(六):Node-使用jwt实现token
前端啥也不懂
08-23 2195
上一篇实现的登录接口如果正确返回的是一个res.json({msg:"success"},但是实际上应用中返回的都是token。 token在计算机身份认证中是令牌(临时)的意思,代表执行某些操作的权利的对象。包括: 访问令牌(Access token)表示访问控制操作主体的系统对象; 密保令牌(Security token),或者硬件令牌,例如U盾,或者叫做认证令牌或者加密令牌,一种计算机...
Node.js 使用JWT进行用户认证
weixin_34096182的博客
09-04 360
代码地址如下:http://www.demodashi.com/demo/13847.html 运行环境 该项目基于 node(v7.8.0版本以上) 和 mongodb 数据库,因此电脑上需要安装这两个软件,安装教程自行百度。mongodb教程。如果实在不懂安装,请勿下载代码。 运行项目 此处已代表已经安装完成了node和mongodb,下载代码之后,目录结构是这样子的: 接下来需要安装依...
RESTful APi 登陆权限、node.js、用户状态控制之JWT(Json web Token)
Harry_一棵树的博客
03-05 3148
http协议是无状态的,所有用户进行多次请求,服务器都不会知道这些请求是谁请求的,以前我可以使用session记录客户端登陆的用户信息,然后让客户端保存用户的cookie,然后客户端每次请求带上cookie,这样服务端就可以识别。JWT其实就是基于token的鉴权机制: 1.首先客户端使用用户名密码来通过api请求服务器 2.服务器进行验证用户的信息,发送给客户端一个token ...
node下使用JWT认证用户登录
DreamFJ的博客
08-08 2664
1.JWT介绍:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 2.安装生成token的包 npm install jsonwebtoken --save 3.登录认证接口的设计思路: 输入用户名、密码;   查库; 数据检索成功,将用户信息加密为token; 将token返回。   4....
使用NodeJs的JWT实现token登录认证
codingWeb的博客
02-12 1982
token鉴权登录的优势:无状态、可以跨域、可以防止csrf、性能好(每次请求不用去服务器查询相应的session),客户端只需要将token存入本地,每次访问服务端headers加上token即可 实现: 安装jwt npm install jsonwebtoken --save 导入包:const jwt=require('jsonwebtoken') 基本使用: const jwt=requ...
请使用node.js和express-jwt写一份完整token处理以及中间件
03-31
以下是一个使用Node.js和express-jwt的完整Token处理和中间件的示例: 1. 安装必要的依赖 ``` npm install express express-jwt jsonwebtoken ``` 2. 创建一个JWT密钥 ``` const jwtSecret = 'mysecretkey'; ``` 3. 创建一个函数来生成令牌 ``` const jwt = require('jsonwebtoken'); function generateToken(user) { const payload = { sub: user.id, iat: Date.now() }; const options = { expiresIn: '1d' }; return jwt.sign(payload, jwtSecret, options); } ``` 4. 创建一个路由来登录并生成令牌 ``` const express = require('express'); const router = express.Router(); const User = require('../models/user'); router.post('/login', (req, res) => { const { email, password } = req.body; User.findOne({ email: email }, (err, user) => { if (err) { return res.status(500).json({ error: err }); } if (!user) { return res.status(401).json({ error: 'User not found' }); } if (!user.validPassword(password)) { return res.status(401).json({ error: 'Invalid password' }); } const token = generateToken(user); res.json({ token }); }); }); module.exports = router; ``` 5. 创建一个中间件来验证令牌 ``` const jwt = require('express-jwt'); function getTokenFromHeader(req) { if (req.headers.authorization && req.headers.authorization.split(' ')[0] === 'Bearer') { return req.headers.authorization.split(' ')[1]; } return null; } const auth = { required: jwt({ secret: jwtSecret, userProperty: 'payload', getToken: getTokenFromHeader }), optional: jwt({ secret: jwtSecret, userProperty: 'payload', getToken: getTokenFromHeader, credentialsRequired: false }) }; module.exports = auth; ``` 6. 使用验证令牌的中间件保护路由 ``` const express = require('express'); const router = express.Router(); const auth = require('../middleware/auth'); router.get('/protected', auth.required, (req, res) => { res.json({ message: 'You are authorized to access this protected route' }); }); router.get('/optional', auth.optional, (req, res) => { res.json({ message: 'This route can be accessed without a token' }); }); module.exports = router; ``` 现在,你可以使用这些路由来生成令牌、保护受保护的路由并允许可选的路由。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值