nodejs简易的token更新模型

最新推荐文章于 2024-09-20 10:35:41 发布
最新推荐文章于 2024-09-20 10:35:41 发布
阅读量765 收藏 2
点赞数
文章标签: nodejs token sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1036548849/article/details/130748864
版权
JWT是一种流行的登录认证工具,通过生成短期有效的tokens并结合redis存储来管理token的有效性。文章讨论了token泄露的风险,提出了通过关联用户ID和token,以及使用短期token和双令牌(access_token,refresh_token)策略来增强安全性。
摘要由CSDN通过智能技术生成

1. 什么是JWT

JWT全称为(JSON WEB TOKEN),是目前流行做登录认证的工具之一,它是一个非常轻巧的规范

2.库安装

npm install jsonwebtoken
github地址: jsonwebtoken

3.更新策略1

假设一个token的有效时间为T
当超过T小时没有请求过接口则失效;
在这里插入图片描述

  1. 用户携带账号密码访问后端校验。
  2. 校验成功后生成有效期为T/2token
  3. redis中设置有效期为T,keytokenkey-value
  4. 当用户访问接口时,如果token已经失效了,则去redis中查找,如果redis有该token则生成一个新的token,替换掉已经失效的token,重置redis的有效期时间为T。如果redis中没有该token,说明该token已经在redis失效或者是无效token,则告知用户重新登录
问题1:一旦token泄露,就可以一值访问 ~_~!

改进1

  1. 3步骤:redis中设置有效期为T,keyuserid,值为tokenuserid-token
  2. 10步骤: 如果存在还要验证token是否一致,保证是最新的token

这样以来就可以在token泄露的时候重新登录更新redis中的token,在原token失效后就无法再更新token
但是一般token的有效时间T都是比较大(比如10天);

问题2:token泄露后有效时间过长

改进2

  1. 2步骤:校验成功后生成有效期为t(尽可能短)token
问题2:token传输过于频繁

改进3

  1. 采用一个access_token访问资源。
  2. 采用一个refresh_token更新access_token

sso图解:
在这里插入图片描述

Z网球
关注
nodejs 生成和使用token
qq_35946021的博客
02-27 569
登录时生成token,要获取用户信息时直接拿到请求头的token,然后就能解析到用户id了。封装了一个生成token和解密token的方法。Vue登录接口,生成token。在请求头上提交token
OAuth2.0与Node.js:简化应用程序的开发流程
AI天才研究院
07-24 1856
作者:禅与计算机程序设计艺术 1.简介 OAuth(开放授权)是一个基于标准协议,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或让它把数据泄露到其他地方。虽然很多网站都提供了 OAuth 服务,但对于一般开发者来说,其实现起来却比较复杂。比如,要让
nodejs生成token
a15240780264的博客
08-04 2774
首先安装jsonwebtoken,命令:npm i jsonwebtoken --save 代码如下所示: const fs = require('fs') // 文件模块 const path = require('path') // 路径模块 const jwt = require('jsonwebtoken') // 引入jsonwebtoken模块 class Jwt { // 获取调用方法的传值 constructor(data) { this.data = data }.
Node.js】Token原理详解
最新发布
lph159的博客
09-20 1040
Token是一串唯一的字符串,用于在客户端和服务器之间传递身份验证信息。它可以理解为一种凭证,服务器在用户首次认证通过后生成并返回给客户端,客户端在后续的请求中携带该Token进行身份验证。Token机制为现代Web开发提供了灵活、安全的身份验证和授权方案。通过合理设计Token的生成、验证与存储方式,开发者可以确保应用的安全性并提升用户体验。无论是API安全、OAuth授权还是分布式系统,Token都是不可或缺的重要组成部分。
使用nodejs生成token
qq_36303110的博客
03-17 675
一、安装软件 Win64OpenSSL-1_1_1c.exe ActivePerl-5.28.1.2801-MSWin32-x64-24563874.exe 二、生成公钥和私钥 终端执行以下命令: 会生成公钥和私钥的文件 // 1.产生公钥和私钥 // 产生私钥 openssl genrsa -out ./private_key.pem 1024 //1024 代表私钥长度 //...
Node.js中生成token详解
易之晓的博客
11-03 9010
cnpm ijsonwebtoken 1.jsonwebtokens (1)概述 jsonwebtokens简称jwt,是后端用来生成token的一个 (2)组成 header(头部):{ 'alg': 'HS256', 'typ': 'JWT' } //注释:header默认是以上配置项 payload(数据):{ iss:Issuer,发行者 sub:Subject...
Nodejs使用jsonwebtoken生成token和express-jwt解析和校验token
LLL3189860667的博客
09-01 4163
亲爱的小伙伴你好,你是否还在苦恼如何在自己使用Nodejs写的接口中生成token字符串,以及解析从客户端发送过来的token字符串呢?别担心,下边我将通过详细的步骤以及一个小案例来教会你如何进行相关操作。
Node.js-一个基于token的验证登录
08-09
在项目结构中,`token-login-master`可能包含了前端Vue组件、后端Node.js路由、数据模型(如User.js)以及必要的配置文件。这些文件协同工作,实现了基于JWT的登录验证系统。 总的来说,这个系统确保了用户在登录...
nodejs-project-template:Nodejs项目模板:路由器,模型,控制器,中间件,视图,jsonwebtoken,mongodb
03-03
模型可以包含字段定义、验证规则和CRUD(创建、读取、更新、删除)操作。 3. 控制器(Controllers): 控制器是应用逻辑的主要承载者,它们接收来自路由的请求,处理业务逻辑,并将结果返回给视图或响应给客户端。...
NodeJS后台实战开发:用户注册登录与Token验证
在本压缩包ev_api_server.zip中,我们将会深入探讨如何使用NodeJS进行后台服务的开发,具体实现包括注册、登录、数据验证、数据连接以及生成和验证Token的功能。 ### 1. NodeJS基础 NodeJS核心是一个基于Chrome ...
Node.js 微信公众号实战】2.Node.js access_token的获取、存储及更新
hvkCoder的博客
05-27 4860
文章目录:         1.Node.js 接入微信公众平台开发         2.Node.js access_token的获取、存储及更新         3.Node.js 自定义微信菜单         4.Node.js 微信消息管理 一、写在前面的话   上一篇文章中,我们使用 Node.js 成功的实现了接入微信公众平台功能。在这篇文章中...
nodejs登录生成token并验证
^_^
08-09 3382
开发者向 API 提供商注册应用程序,并获得一个 API 令牌,以便在应用程序中进行身份验证和授权,以访问和使用 API 提供的功能和数据。身份验证:在身份验证过程中,用户提供凭据(如用户名和密码),服务器验证凭据的有效性后会颁发一个身份验证令牌给用户。这个令牌可以是一个长期有效的持久令牌,也可以是一个短期有效的临时令牌,用于后续的请求中证明用户的身份。它可以是一个字符串、数字或其他形式的数据。验证后会把数据返回出来,就可以当时生成token传过去的数据,有了数据那么我们就可以自行获取用户信息。
token续签方案
weixin_52236586的博客
08-10 395
在处理 Token 的有效期续签时,通常有两种主要策略:自动续签和手动续签。
node.jsExpress服务器如何生成token字符串JWT-webjsontoken
草木疏博客
10-29 399
node.jsExpress服务器如何生成token字符串JWT-webjsontoken
nodejs登录成功生成token并验证
m0_62442882的博客
07-08 896
Node.js中,nodejs登录成功生成token并验证通常涉及以下几个步骤: 1.安装必要的依赖包 2.创建Express应用;3.生成Token;4.验证Token;5.错误处理
更新token
sdsdvsdvs的博客
10-03 774
用户在登录之后为了保证账号的安全性我们需要更新token;不知不觉的将token更新掉;即使我们的token泄露也会马上给换掉;此时拿到的就是一个务实的过期token;思路:首先我们要 生成两个token;一个长token和一个短token;短token就假设设置五分钟后过期;然后,我们在后端 进行拦截过期的token;拦截到报406;前端用拦截器,拦截406,拦截到之后,我们就将长token传入后端,设置一下过期时间;在返回前段进行本地存储;把toekn给更换了;
node生成token与验证token(typeScript语法)
温壁
12-22 1439
1、首先安装jsonwebtoken (c)npm install jsonwebtoken -S 2、根据前端发送的登录信息,生成对应token import { Router,Request,Response } from "express"; import jwt from 'jsonwebtoken'; export default (router:Router) => { router.post('/',(req:Request,res:Response) => {
Node.js 中的token和鉴权
weixin_62981580的博客
12-16 342
在计算机安全领域,Token 是一种用于代表用户身份、访问权限或者认证状态的凭证。Token 在Web开发中通常指的是用于表示用户身份和授权信息的字符串,用于实现用户认证和授权操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值