登录权限验证token验证的原理和实现

最新推荐文章于 2024-05-19 17:05:33 发布
置顶 最新推荐文章于 2024-05-19 17:05:33 发布
阅读量1.8w 收藏 36
点赞数 6
分类专栏: node 文章标签: 权限验证 token 公钥 私钥 Nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38045106/article/details/83549444
版权

原理

后端不在存储认证信息,而是在用户登录的时候生成一个token,然后返回给前端,前端进行存储,在需要进行验证的时候将token一并发送到后端,后端进行验证

加密的方式:对称加密和非对称加密,对称加密指的是加密解密使用同一个密钥,非对称加密使用公钥和私钥,加密用私钥加密,解密用公钥解密

主要流程

  1. 用户登录的时候,生成token,token 中应该包含 payload (数据) cert (密钥) 确定加密方式
  2. 返回给前端 cookie,前端进行存储
  3. 前端在进行数据请求的时候发送token到后端
  4. 后端进行token验证,而且进行过期时间的验证

安装

安装jsonwebtoken  npm install jsonwebtoken -S

1.公钥加密 公钥解密

1.生成秘钥,并以cookie的方式返回前端

// 对称 加密
let _payload = { // 钥加密的数据
   userid: _judge_result[0]._id,
   username: _judge_result[0].username,
   level: 8,
   }
let _cert = 'i love u' // 密钥
var _token = jwt.sign(_payload, _cert);
res.cookie('token', _token)//发送cookie

2.再次请求时,后端解密

var decoded = jwt.verify(req.cookies.token, 'i love u');

2.公钥加密 公钥解密

生成秘钥

生成私钥:

ssh-keygen -t rsa -b 2048 -f private.key

生成公钥

openssl rsa -in private.key -pubout -outform PEM -out public.key

1.私钥加密

 // 非对称加密
let _payload = { // 钥加密的数据
    userid: _judge_result[0]._id,
    username: _judge_result[0].username,
    level: 8,
}
 // 取出来私钥
 let _private = fs.readFileSync(PATH.resolve(__dirname, '../keys/private.key'))

 var _token = jwt.sign(_payload, _private, { algorithm: 'RS256'});//进行加密
 res.cookie('token',_token);//发送给前端

2.公钥解密

let _public=fs.readFileSync(PATH.resolve(__dirname,'../keys/public.key'));//获取公钥
var decoded = jwt.verify(req.cookies.token,_public, {algorithm: 'RS256'});//公钥解密

 

frontEndJie
关注
  • 6
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
用户登录token验证
zhangxing
06-13 3万+
1.场景还原 可能还有很多小伙伴对token概念朦朦胧胧,今天笔者以项目中的用户登录token验证需求跟大家讲讲其中的来龙去脉,希望能够理清大伙的思路。 2.需求分析 这个需求可能早已是老生常谈,但我觉得它永远也不会过时 ①谷歌浏览器:login.html---->index.html; ②然后复制index.html的地址在IE浏览器地址栏上,这时普遍网站都会使访问界面直接
Token身份验证
qq2844509367的博客
11-18 1868
Token更加能适应我们的前后端分离项目Token相对与Http与Cookie有很好的优点Token能高效的对用户的管理。
token登陆验证
qq_20786911的博客
03-07 1万+
登陆业务的实现 由于http是无状态的,那么应该如何记住登录状态呢? 单一应用的服务中常见做法是在客户端cookie中保存sessionId,服务器端的session中保存sessionid,每次客户端发送请求的时候都带上sessionid,在服务器端进行验证。 在分布式系统中,由于服务器之间不能共享内存,因此服务器之间session不能互通,因此不能使用session去存储用户的登录信息,一般使...
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
最新发布
Flag少侠的博客
05-19 3945
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
token验证登录
qq_53172334的博客
05-20 3481
vue2的token验证登录
Token 认证登录
qq_30436011的博客
11-04 5232
访问资源接口(API)时所需要的资源凭证简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串)
基于Token的身份验证,用户登录
weixin_34128534的博客
08-24 883
2019独角兽企业重金招聘Python工程师标准>>> ...
Node登录权限验证token验证实现的方法示例
10-15
主要介绍了Node登录权限验证token验证实现的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解ABP框架的参数有效性验证权限验证
10-22
ABP框架是基于ASP.NET的Web开发框架(GitHub: https://github.com/aspnetboilerplate),在ASP.NET框架之上又添加了更强大的功能,这里我们就来详解ABP框架的参数有效性验证权限验证
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
Nuxt.js SSR与权限验证实现
10-17
为了实现权限验证,我们需要在服务器端处理这一过程,防止未经过验证的用户看到敏感内容。 Nuxt.js官方提供了一个名为“auth-routes”的示例,演示了如何使用中间件来限制页面访问。然而,这种中间件验证仅在客户端...
使用token登陆认证流程
zerodiyi的博客
03-23 2506
JWT验证的主要流程
用户登录token验证
m0_53912016的博客
05-07 478
登录 参考页面
前端应该学习的 Token 登录认证知识
2303_79056168的博客
04-15 850
技术是没有终点的,也是学不完的,最重要的是活着、不秃。零基础入门的时候看书还是看视频,我觉得成年人,何必做选择题呢,两个都要。喜欢看书就看书,喜欢看视频就看视频。最重要的是在自学的过程中,一定不要眼高手低,要实战,把学到的技术投入到项目当中,解决问题,之后进一步锤炼自己的技术。技术学到手后,就要开始准备面试了,找工作的时候一定要好好准备简历,毕竟简历是找工作的敲门砖,还有就是要多做面试题,复习巩固。有需要面试题资料的朋友点击这里可以领取。技术是没有终点的,也是学不完的,最重要的是活着、不秃。
Token详解及安全验证
qq_53058639的博客
03-08 1562
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Token登录验证
u013258556的博客
05-28 8423
首先,引入crypto-js  或者测试直接使用下面的(用浏览器打开下面链接,复制到JS文件里,用script src的方式引到HTML中,避免链接失效)   <script src="https://yiyouqi.oss-cn-shanghai.aliyuncs.com/cdn/rsa/RSA.js"></script> <script src="https...
Token拦截器 验证用户是否登录
weixin_46427348的博客
09-14 550
今天练习的时候为了完成判断用户是否登录用了个简单拦截器 前端每发送一个请求都会被拦截器拦截下来获取请求头中的 token值 判断token是否有效 从而是否进行放行。附带一个生成token的工具类。
基于SpringBoot和Redis实现Token权限认证
热门推荐
scorpio的博客
01-21 2万+
一、引言 用户登录成功后后台会返回一个token给调用者,同时我们自定义了@AuthToken注解,被该注解标注的api进行请求的时候都需要进行token效验, 效验通过才可以正常访问,实现接口级的鉴权控制。同时token具有生命周期,在用户持续一段时间不进行操作的话,token则会过期,用户一直操作的话,则不会过期。 二、环境 三、流程分析 四、具体代码实现 五、小结 流程分析 客户端登录,输入...
某开源管理平台越权访问漏洞复现
tpaer的博客
12-28 1313
某开源的管理平台,该漏洞可导致普通用户越权访问调用管理员的API。
jwt实现token登录验证
04-28
同时,由于 JWT 中已经包含了足够的信息,服务器可以快速地进行权限验证和授权。 如果要实现 JWT 的登录验证,可以按照以下步骤进行: 1. 用户在登录成功后,服务器生成一个 JWT,并将其发送给客户端。 2. 客户端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值