vue3+nodejs基于RSA加密的身份认证(token的组成及使用)

已于 2022-01-22 14:23:58 修改
阅读量2k 收藏 5
点赞数 3
分类专栏: nodejs vue3 文章标签: 前端 vue.js javascript
于 2021-12-27 15:03:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40934617/article/details/122172374
版权
vue3 同时被 2 个专栏收录
15 篇文章 0 订阅
订阅专栏
nodejs
7 篇文章 1 订阅
订阅专栏

nodejs学习

一、NodeJs中

1、Token的组成
Token = header.payload.signature 
  	  = base64(header).base64(payload).RSA(base64(header).base64(payload))
  • Header(标头)

组成:令牌的类型(即JWT)和所使用的签名算法,签名算法例如HMAC SHA256或RSA。

let header = { // token标头信息
  "alg": "RSA", // 签名算法RSA
  "typ": "JWT" // 统一jwt令牌类型
};
  • Payload(有效负载)

有关实体(通常是用户)和其他数据的声明。

let payload = { // token有效负载,可自定义
  "nbf": new Date().getTime(), // 生效时间当前系统时间毫秒数
  "uid": uid, // 用户uid
  "lastTime": 60 * 1000 * tokenTimeout,//有限时间
}
  • Signature(签名)

header和payload都是Base64编码过的,中间⽤.隔开,Signature就是使用加密算法将header和payload合起来做签名,RSA(base64(header).base64(payload)),签名的作用是保证 JWT 没有被篡改过

2、Signature的生成

Signature = RSA(base64(header).base64(payload)),将base64编码过的header和payload拼接在一起,用RSA加密算法进行加密

  • RSA加密算法

    RSA加密算法,是生成一对密钥,分别为公钥、私钥,成对存在。用其一加密,另一个解密。

    token一般使用 私钥加密,公钥解密 的方式来进行签名认证

1.公钥加密,私钥解密

公钥被多人持有,对于公钥加密的信息,只有私钥才能解密,从而实现了数据可以保密的到达拥有私钥的一方。即使被第三方截取,也无法解密。

2.私钥加密,公钥解密

一般被用于数字签名。数字签名是用于防篡改和防止假冒的,因为只有一人拥有私钥。甲方通过私钥对数据进行签名,乙方通过甲方的公钥验证签名,如果成功,说明确实是甲方发来的,并且数据没有被修改。一旦相反,公钥是公开的,大家都能做签名,就没意义了。

  • RSA安装

    npm i node-rsa

  • RSA生成密钥对存文档

    //生成公钥私钥存文档,给之后加密解密使用
//通过 node xxx.js 来运行文件
const NodeRSA = require('node-rsa');
//执行文件,密钥存文档后就可以注释以下代码
let key = new NodeRSA({b:1024})
var publicDer = key.exportKey('public');
var privateDer = key.exportKey('private');
console.log('公钥:',publicDer);
console.log('私钥:',privateDer);

在这里插入图片描述

const NodeRSA = require('node-rsa');
const fs = require('fs')
const path = require('path')
//读取私钥加密
const rsaS = fs.readFileSync(path.join(__dirname,'../config/private.pem'));
let key = new NodeRSA(rsaS)
let signature = key.encryptPrivate(base64编码过的header以及payload,'base64')
console.log(signature)
//读取公钥解密
const rsaG = fs.readFileSync(path.join(__dirname,'../config/public.pem'));
let key = new NodeRSA(rsaG)
let designature = key.decryptPublic(signature, 'utf8')
console.log(designature)
3、token的生成与检验

  • 工具类

    base64编码、解码(处理payload以及header)

    RSA生成加密解密key(处理signature)

class Rsa{
    base64(str) { //base64加密方法
        if (typeof str !== 'string') {
            str = JSON.stringify(str);
        }
        return Buffer.from(str).toString("base64");
    }
    base64decode(str=''){//base64解密
        return Buffer.from(str, "base64").toString('utf-8');
    }
    nodersaS(){//RSA 私钥生成加密key
        return new NodeRSA(rsaS)
    }
    nodersaG(){//RSA 公钥生成解密key
        return new NodeRSA(rsaG)
    }
}
  • 生成token
const rsa = new Rsa()//实例化rsa类
//生成token
function getToken(uid){
    let key = rsa.nodersaS()
    let header = { // token头部信息
        "sec": "RSA", // 密码算法RSA
        "type": "JWT" // 统一jwt类型
    };
    let payload = { // 定义数据信息, 可以自己定义, 但是不要放机密信息
        "nbf": new Date().getTime(), // 生效时间当前系统时间毫秒数
        "uid": uid, // 用户uid
        "lastTime": 60 * 1000 * tokenTimeout,//tokenTimeout放在全局配置config里,方便修改
    }
    let sign = key.encrypt(rsa.base64(header)+'.'+rsa.base64(payload),'base64')
    const token = rsa.base64(header)+'.'+rsa.base64(payload)+'.'+sign

    return token
}

//测试调用 
//console.log(getToken(33))
  • token的检验
function checkToken(token){
    let arr = token.split('.');
    let key = rsa.nodersaG()
    let payload;
    if(arr.length===3 && arr[2]){
        const token = key.decryptPublic(arr[2], 'utf8')
        let headpay = token.split('.')
        if(arr[0]===headpay[0] && arr[1]===headpay[1]){
            payload = JSON.parse(rsa.base64decode(arr[1]))
            if(new Date().getTime() - payload['nbf'] < payload['lastTime']){
                return {code:true}
            }else{
                return {code:false,msg:'token过期'}
            }
        }else{
            return {code:false,msg:'token有误'}
        }
    }else{
        return {code:false,msg:'token有误'}
    }
}
//测试调用 
//let token = getToken(33);
//console.log(checkToken(token))
4、token的使用

  • 全局拦截器

    要放在 声明路由的上面 才会生效

//app.js
const {checkToken} = require('../utils/RSA')
// 拦截器  要放在声明路由的上面
let notcheck = ['/login','/register'] //此数组中路由不用检测是否携带token
app.use(async (req, res, next) => {
  if(notcheck.indexOf(req.path) > -1){
    next()
  }else{
    if (!req.headers.authorization) {
        res.send(MError("请设置请求头,并携带验证字符串"));
    } else {
      let result = await checkToken(req.headers.authorization)
      if(result.code){
        next();
      }else{
        res.send(MError(result.msg));
      }
    }
  }
});
  • 登陆接口派发
router.get('/login',async (req,res,next)=>{
  let {name,password} = req['query']
  if(!name || !password){
    res.send(MError('账号信息不存在'))
    return
  }
  const result = await db.select(`SELECT * FROM user WHERE name = '${name}'`)
  if( result && password=== result[0].password){
    let token = await getToken(result.id)
    res.send(Success({...result,token}));
    return
  }else{
    res.send(MError('用户名或密码错误'))
    return
  }
})
5、示例
  • app.js
//app.js
const {checkToken} = require('../utils/RSA')
const {NOauthor} = require('./utils/result')
// 拦截器  要放在声明路由的上面
let notcheck = ['/login','/register'] 
app.use(async (req, res, next) => {
  if(notcheck.indexOf(req.path) > -1){
    next()
  }else{
    if (!req.headers.authorization) {
        res.send(NOauthor("请设置请求头,并携带验证字符串"));
    } else {
      let result = await checkToken(req.headers.authorization)
      if(result.code){
        next();
      }else{
        res.send(NOauthor(result.msg));
      }
    }
  }
});
  • utils/rsa.js
const NodeRSA = require('node-rsa');
const fs = require('fs')
const path = require('path')
const {tokenTimeout} = require('../config/index')

// 生成公钥私钥存文档,给之后加密解密使用
// let key = new NodeRSA({b:1024})
// var publicDer = key.exportKey('public');
// var privateDer = key.exportKey('private');
// console.log('公钥:',publicDer);
// console.log('私钥:',privateDer);

//使用私钥加密,使用公钥解密
const rsaS = fs.readFileSync(path.join(__dirname,'../config/private.pem'));//读取私钥
const rsaG = fs.readFileSync(path.join(__dirname,'../config/public.pem'));//读取公钥
class Rsa{
    base64(str) { //base64加密方法
        if (typeof str !== 'string') {
            str = JSON.stringify(str);
        }
        return Buffer.from(str).toString("base64");
    }
    base64decode(str=''){//base64解密
        return Buffer.from(str, "base64").toString('utf-8');
    }
    nodersaS(){//私钥加密key
        return new NodeRSA(rsaS)
    }
    nodersaG(){//公钥解密key
        return new NodeRSA(rsaG)
    }
}
const rsa = new Rsa()
exports.getToken = async (uid)=>{
    let key = rsa.nodersaS()
    let header = { // token头部信息
        "sec": "RSA", // 密码算法RSA
        "type": "JWT" // 统一jwt类型
    };
    let payload = { // 定义数据信息, 可以自己定义, 但是不要放机密信息
        "nbf": new Date().getTime(), // 生效时间当前系统时间毫秒数
        "uid": uid, // 用户uid
        "lastTime": 60 * 1000 * tokenTimeout,
    }
    let sign = key.encryptPrivate(rsa.base64(header)+'.'+rsa.base64(payload),'base64')
    const token = rsa.base64(header)+'.'+rsa.base64(payload)+'.'+sign

    return token
}
exports.checkToken = async (token)=>{
    let arr = token.split('.');
    let key = rsa.nodersaG()
    let payload;
    if(arr.length===3 && arr[2]){
        const decryptbase = key.decryptPublic(arr[2], 'utf8')
        let headpay = decryptbase.split('.')
        if(arr[0]===headpay[0] && arr[1]===headpay[1]){
            payload = JSON.parse(rsa.base64decode(arr[1]))
            if(new Date().getTime() - payload['nbf'] < payload['lastTime']){
                return {code:true}
            }else{
                return {code:false,msg:'token过期'}
            }
        }else{
            return {code:false,msg:'token有误'}
        }
    }else{
        return {code:false,msg:'token有误'}
    }
}
// let token = getToken(33);
// console.log(checkToken(token))
  • config.js
exports.tokenTimeout = 60 //分钟
  • utils/result.js
//token有误,权限不够
exports.NOauthor = (msg = '权限非法') => {
    return {
        msg,
        code: 403,
        list
    }
}
  • route/index.js
// 登陆
router.get('/login',async (req,res,next)=>{
  let {name,password} = req['query']
  if(!name || !password){
    res.send(MError('账号信息不存在'))
    return
  }
  const result = await db.select(`SELECT * FROM user WHERE name = '${name}'`)
  if( result && password=== result[0].password){
    let token = await getToken(result.id)
    res.send(Success({...result,token}));
    return
  }else{
    res.send(MError('用户名或密码错误'))
    return
  }
})

二、vue中

1、登陆保存
userlogin(form.model).then(res => {
  if (res.code === 200) {
    ElMessage.success(res.msg);
    localStorage.setItem('token',res.list.token)//处理返回的token
    reset()
  } else {
    ElMessage.error(res.msg);
  }
})
2、请求拦截器
//请求拦截器 
axios.interceptors.request.use((config) => {
	showLoading()
	// token如果存在,统一在http请求的header都加上token
	const token = window.localStorage.getItem('token');
	token && (config.headers.Authorization = token)
	//若请求方式为post,则将data参数转为JSON字符串
	if (config.method === 'POST') {
		config.data = JSON.stringify(config.data);
	}
	return config;
}, (error) =>
// 对请求错误做些什么
Promise.reject(error));
3、响应拦截器
axios.interceptors.response.use((response) => {
	if(response.data && response.data.code === 403){
		localStorage.removeItem('token');
		ElMessage.error('请先进行登录之后再操作');
	}
    //响应成功
    return response.data;
}, (error) => {
    console.log(error)
    //响应错误
    //。。。。。。
});

可以将token时效设置短一些进行测试

原莱_
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue+node项目中使用token进行登录验证拦截
weixin_43366084的博客
03-21 1516
vue+node项目中使用token进行登录验证拦截: 一、用户登录发送登录请求到后台 二、后台接收用户发送的登录请求,进行验证用户登录。验证成功后生成token并响应给前台。 三、前台接收到后台的token信息和用户其他信息,将token信息存储到localstorage。 四、前台拦截请求,将token信息添加到请求头中。 五、后台拦截前台的每次请求,进行验证token信息是否存在和正确。并且响应信息给前台。 六、前台根据后台的响应确定token是否正确,进行进一步操作(不正确,跳转至登录页面)。
Vue+Node.js+Mongodb 实现身份验证(token使用和说明)
窝窝头的博客
10-30 1297
一、首先了解一哈token的作用 1.1、token是什么,为什么需要,怎样使用,参考这里哈 是什么:token是交互会话中唯一身份标识符的令牌,即当前用户的唯一标识,并且可以设置有效时间 为什么使用: 此项目用来作身份验证,保证用户是合法请求服务端数据。 怎样使用token值在用户第一次登录时生成,服务端将此token值存储到数据库中。接着客户端在接下来的请求,都会携带唯一toke...
vue3+nodejs利用RSA加密实现登陆注册
weixin_44729896的博客
07-19 1600
前言 现在市面上密码加密方式很多,常用的加密方式比如AES,RSA。还有一些通过散列算法生成摘要的方式,比如md5、sha1等等,我们最常用的是md5,但是md5是不可逆的,而且跟用户的操作习惯有很大的关联,如果密码过于简单很不安全,所以我们能不能用其他的加密方式来生成密文呢? md5剖析 在用户登录时需要将密码加密,不能以明文发送。所以就涉及到加密,我们一贯的用法是使用md5加密,但是对于md5网上众说纷纭,说md5加密不安全,容易被暴力破解,首先MD5都不能称之为加密,它是不可逆的,所以本质它是对文件本
vue3基于axios配置请求拦截器响应拦截器以及无感刷新token的实现
Gik99的博客
06-21 784
vue3基于axios配置请求拦截器响应拦截器以及无感刷新token的实现
vue nodeRSA加密 ;; 利用jsencrypt插件(该部分放前端node-rsa模块(该部分放node端)
MrZachary_zlc的博客
05-17 705
前言: 1.bcrypt 进行md5 加密后存在库中的密码密文是不可逆的; 2.前端再用bcrypt 进行加密,两段密文是不一样的; 3.bcrypt 方法比对只有该模块提供的compare方法,但是该方法要求同时提供原明文密码和库中的密文密码(一般为了保护用户账号安全,都这样放)才可以判断出密码是否正确; 4.生成公私钥的方法一般用linux系统中的openssl: 生成私钥:openssl genrsa -out rsa_private_key.pem 1024 生成公钥:openssl rsa -in
前端VUE3使用RSA加密向后端传输密码
xll20000811的博客
10-29 3729
前端VUE3使用RSA加密向后端传输密码
Node.js 使用 RSA加密
超超不会飞
10-21 1320
Node.js 使用 RSA加密 RSA RSA加密算法是一种非对称加密算法。 假设 A 与 B 通信。A 和 B 都提供一个公开的公钥。A 把需要传递的信息,先用自己的私钥签名,再用 B 的公钥加密。B 接收到这串密文后,用自己的私钥解密,用 A 提供的公钥验签。 为什么要先签名后加密?如果你先加密后签名,非法用户通过获取的公钥就可以破解签名...
nodejs基于Token身份认证
AC916305619的博客
06-08 1117
传统的Session验证 起初的验证方式是存在于服务器的,用户登录进来以后,服务器判断成功,将数据存进session里面,向用户返回一个sessionID。这样的弊端是,假如用户基数特别大,每登录一个用户,就要存储一条,对服务器的内存压力比较大。 基于Token的验证方法 基于Token的验证方法是无状态的,因此我们就不用把信息存在服务器中了。 Token可以通过请求头传输,所以他可以在任何一种http请求中被发送到服务器中。 Token的验证流程 客户端发送用户、密码到服务器。 服务器接收到信息之后和数据
Vue2+Node.js前后端分离项目部署到云服务器
SongD1114的博客
04-15 5540
Vue2+Node.js前后端分离项目部署到云服务器
jenkins+gitlab+sonarQube+Ldap+maven+nodejs持续性集成
最新发布
weixin_45552912的博客
08-26 1016
jenkins+gitlab+maven+sonarqube+LDAP持续性集成项目环境:首先搭建jdk环境。
支付宝,对接沙箱支付(vue2+node.js)
weixin_46426412的博客
03-21 2386
下载 qs (加密传输,自行百度)qs是增加安全性的序列化 比JSON.stringify安全系数高。node.js中,自行,创建项目,对接mqsql。3. 生成token语法 jwt.sign( 用户信息 , 口令 , 过期时间)2. 引入 require(‘jsonwebtoken’);4. 解析token jwt.decode(token);下载 npm install jsonwebtoken。先看下,成品后的,拿串链接,就是后台返回的路径。依照自己系统,自行选择下载。下载 对接支付宝的sdk。
VueNodetoken 使用(可直接复制使用)
aaassddd_a的博客
11-19 884
token使用 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据 APP登录的时候发送加密的用户名和密码到服务器,服务器验
Vue项目中使用RSA加密
allen_csdns的博客
12-20 1743
1、安装 jsencrypt npm install jsencrypt 2、在 main.js 引入 jsencrypt import JsEncrypt from 'jsencrypt' Vue.prototype.jsEncrypt = JsEncrypt 3、在项目中使用 var en=new JSEncrypt(); en.setPublicKey(publicKey); le...
NodejsRSA验证实例与豌豆荚RSA验证的实现,支付宝的RSA也一样可以使用,0.0
macjeson的专栏
07-29 3236
首先这里告诉大家一些简单的nodejs对RS
Vue中获取RSA并进行数据加密
Gong_01的博客
04-14 974
Vue中获取RSA并进行数据加密
Vue3获取地址栏token
m0_67372185的博客
12-07 1984
Vue3获取地址栏参数token,存放到浏览器中,再放到请求头去请求参数
Vue 前端RSA加密 (短文本、长文本)
qq_39749620的博客
05-25 1660
RSA算法简介 ● RSA加密算法是一种 非对称加密 算法,RSA算法相比别的算法思路非常清晰,但是想要破解的难度非常大。 ● RSA算法基于一个非常简单的数论事实:两个素数相乘得到一个大数很容易,但是由一个大数分解为两个素数相乘却非常难。 1、什么是非对称加密算法 ● 和 对称加密 算法使用同一个密钥进行加密解密的方式不同,非对称加密 算法是使用不同密钥进行加密和解密的算法,也称为公私钥加密。 非对称加密算法实现机密信息交换的基本过程: ● 甲方生成 一对密钥 并将其中的一把作为 公钥 向其它方公开,得到
Vue3移动端项目使用vuex处理用户token
weixin_62918410的博客
10-25 1584
Vue3移动端项目使用vuex处理用户token
Vue3---请求拦截器携带token
weixin_52053631的博客
07-11 2419
Token作为用户标识,在很多个接口中都需要携带Token才可以正确获取数据,所以需要在接口调用时携带Token。另外,为了统一控制采取请求拦截器携带的方案。可以在接口正式发起之前对请求参数做一些事情,通常Token数据会被注入到请求header中,格式按 照后端要求的格式进行拼接处理。为什么要在请求拦截器携带Token?
基于vue3+nodejs+mysql的仓库管理系统
06-08
非常好,基于Vue3、Node.js和MySQL的仓库管理系统需要具备以下功能: 1. 用户登录/注册:允许用户注册账号并登录到系统中。 2. 仓库管理:允许管理员管理仓库,包括添加、修改和删除仓库。仓库信息包括仓库名称、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值