token的颁发、保存与携带

已于 2023-11-25 18:22:43 修改
阅读量3.5k 收藏 13
点赞数
分类专栏: Node 文章标签: node.js 前端 javascript
于 2022-04-24 20:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60602244/article/details/124390575
版权

目录

token的颁发、保存与携带

http无状态协议(不知道上一次是否登录过了),所以要返回一个登录凭证(如cookie+sessiontoken)。这里我们使用token实现身份认证。

一、JWT实现token的机制

JWT生成token由三部分组成:

  • header
  • payload
  • signature

1.header

  • alg:采用的加密算法,默认是 HMAC SHA256(HS256,对称加密),采用同一个密钥进行 加密和解密;
  • type: JWT,固定值,通常都写成JWT即可;
  • 会通过base64Url算法进行编码;

2.payload

  • 携带的数据,比如我们可以将用户的id和name放到payload中;
  • 默认也会携带令牌的签发时间;
  • 我们也可以设置过期时间:exp(expiration time);
  • 会通过base64Url算法进行编码

3.signature

  • 设置一个secretKey,通过将前两个的结果合并后进行HMACSHA256的算法;
  • HMACSHA256(base64Url(header)+.+base64Url(payload), secretKey);
  • 但是如果secretKey暴露是一件非常危险的事情,因为之后就可以模拟颁发token, 也可以解密token;

二、登录接口中颁发token的实现

在项目中通过一个库完成:jsonwebtoken

并且一般都是使用非对称加密

  • 私钥:用于发布令牌
  • 公钥:用于验证令牌

1.生成公钥与私钥

这里使用git bash生成;

git bash 中输入openssl

  • 生成公钥到当前文件夹:openssl genrsa -out private.key 2048
  • 根据私钥生成公钥的当前文件夹:**openssl rsa -in private.key -pubout -out public.key
    **

2.将公钥与私钥放到配置文件中

// 通过dotenv统一管理环境标量
const dotenv = require('dotenv').config();
const fs = require('fs')
const path = require('path')

// 这里读取到的文件时buffer
const PRIVATE_KEY = fs.readFileSync(path.resolve(__dirname, './keys/private.key'))
const PUBLIC_KEY = fs.readFileSync(path.resolve(__dirname, './keys/public.key'))


const {
  APP_PORT,
    .....
  
} = process.env;

module.exports = {
  APP_PORT,
    ......
}
// 注意这里的导出需要写到module.exports={}的后面
module.exports.PRIVATE_KEY = PRIVATE_KEY;
module.exports.PUBLIC_KEY = PUBLIC_KEY;

3.登录接口中颁发令牌

颁发令牌之前要先通过账号的验证(如账号秘密)中间件,然后再在另一个中间件颁发令牌。

const express = require('express')
const LoginRouter = express.Router()

const {
  login
} = require('../controller/login.controller')
const {
  verifyLogin,
} = require('../middleware/login.middleware')
// verifyLogin 为颁发令牌前的信息验证。login中间件中颁发令牌
LoginRouter.post('/', verifyLogin, login)

module.exports = LoginRouter;

login中间件

调用jwt的sign方法生成token,sign()的参数:

  • 第一个参数为:payload中的可携带的数据
  • 第二个参数为:私钥
  • 第三个参数为:sign()的其他设置,expiresIn为token生效时间,algorithm为加密方式,这里需指明为SH256(非对称加密)
const { getPassword } = require('../service/login.service')
const jwt = require('jsonwebtoken')
const { PRIVATE_KEY } = require('../app/config')
class LoginController {
  // 登录
  async login(req, res, next) {
    const { name, password } = req.body

    if (password === await getPassword(name)) {
      // 生成token
      const token = jwt.sign({ name, password }, PRIVATE_KEY, {
        expiresIn: 60 * 60 * 24, // 一天
        algorithm: "RS256" // 这里必须写RS256(非对象加密),因为默认为HS256(对称加密)
      })
      return res.json({
        data: { code: 0, token: token },
        meta: { message: "登录成功!", status: 200 }
      })
    }

  }
}

module.exports = new LoginController();

4.验证前端请求携带的token

通过公钥验证token。

// 验证授权  (验证token)
const verifyAuth = async (req, res, next) => {
  // 1.获取token (这里假设前端通过data携带token)
  const token = req.headers.token
  // 2.验证token 返回的结果为token携带的数据,如payload中携带的name,passqord,以及过期时间等
  try {
    const result = jwt.verify(token, PUBLIC_KEY, {
      algorithms: ["RS256"]
    });
    next();
  } catch {
    res.json({
      meta: {
        message: "无效的token!",
        status: 401 // 未授权
      }
    })
  }
}

:在需要验证token的地方直接插入这个中间件即可。如:

studyRouter.get('/getsortlist', verifyAuth, getSortList)

三、前端保存token和请求携带token

1.保存token

localStorage.setItem('adminToken', data.token)

2.请求携带token

  • 请求头携带token
  • url携带token
  • data携带token
  • 前端二次axios在请求拦截器中携带token

这里展示请求拦截器中携带token:

// 二次封装axios
import axios from 'axios'

const requests = axios.create({
  baseURL: '/admin',
  timeout: 5000
})

// 请求拦截器
requests.interceptors.request.use(config => {
  if (localStorage.getItem('adminToken')) {
    config.headers.token = localStorage.getItem("adminToken")
  }
  // config: 配置对象,里面有一个熟悉很重要,headers请求头
  return config
})

// 响应拦截器
requests.interceptors.response.use(res => {
  return res.data
}, error => {
  return Promise.reject(error)
})

export default requests;
渣渣淘
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端 - token 是什么?为什么每次请求头(HEADS)里要携带它?
王佳斌
11-10 1万+
Token token 是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token 便应运而生了。 目的 token 的目的是为了减轻服务器的压力,减少频繁的查询数据库。 在前端请求后台的 API 接口的时候,为了安全性,一般需要再用户登录成功之后才能发送其他请求。 因此,在用户登录成功之后,后台会返回一个 token前端,这个时候我们就需要把 token 暂时保存在本地,每次发送请求的时候需要在 header 里
Python中requests库实战,GET和POST方法请求携带token封装方法类编写【Postman工具发送请求,其中请求头Headers携带token
程序员象漂亮的博客
07-13 1万+
"""请求携带token拿取信息:1-post-以json格式传递数据,请求携带token成功形如:2-get-以json格式传递数据,请求携带token成功:return:"""
服务端请求头允许携带Token,将服务端响应给客户端的Token暴露
2202_75616310的博客
03-15 304
【代码】服务请求头允许携带cookie,将服务端响应给客户端的X-Token暴露。
【问题篇】浏览器get请求token
热门推荐
weixin_56995925的博客
07-26 1万+
浏览器get请求token
在postman设置请求里带动态token,看看这两种方法!
人生不怕起点低,就怕没追求
07-11 1009
在使用postman调试接口时,遇到一些需要在请求里加上token的接口,若token出现变化,需要手动修改接口的token值,带来重复的工作量,翻看postman使用手册后,我发现了两种方法可以解决这个问题。
token保存
是秃子总会发光
10-27 295
token持久化,将token保存到本地。
前端发送请求时自动带上token
qq_53561431的博客
07-28 2425
代码】前端发送请求时自动带上token
postman发送携带token请求
qq_42168543的博客
02-06 7784
工欲善其身,必先利其器 ---------------------------------------------------------------------------------------------------------------------------------------------------------------------《论语 卫灵公》 自从有了postman 开发效率翻倍 不用整天麻烦前端进行联调了 乃后端开发之必备工具 postman..
【微服务】springboot 整合 SA-Token 使用详解
最新发布
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
php token和session,简聊 Session 与 Token 身份验证
weixin_42128315的博客
03-10 472
前言当我们账号密码登陆以后,如何确保用户认证是我们每一个phper都会遇到的问题,从最开始的Session 到 Token ,让我们带着求知欲了解一下它。Session时代Web开发使用Http协议,HTTP协议最初是匿名的,无状态的请求/响应协议。这样简单的设计可以使HTTP协议专注于资源的传输(HTTP是超文本传输协议);随着WEB的发展,业务需要确定客户端的唯一性,引入session会话这个...
Vue 拦截器对token过期处理方法
08-28
客户端在之后的每次HTTP请求中都需要携带这个token,以此证明用户的身份并获得访问权限。当token过期后,通常后端会返回一个特定的错误码,提示前端进行处理。因此,我们需要在前端设置拦截器,在发送请求前添加...
微信token认证文件
02-05
微信的token认证文件,只要第一次验证接口时使用就行,以后不用配置
Cookie & Session & Token
gc_charl的博客
05-29 816
Cookie & Session & Token Cookie: 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。 而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(例:用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了)
OAuth 2.0 协议原理与实现:token 生成策略
chunqingtai2922的博客
06-22 1834
OAuth2.0 协议定义了授权详细流程,并最终以 token 的形式作为用户授权的凭证下发给客户端,客户端后续可以带着 token请求资源服务器,获取 token 权限范围内的用户资源。 对于 token 的描述,OAuth 2.0 协议只是一笔带过的说它是一个字符串,用于表示特定的权...
前端存放token
风情
02-19 4407
1、可以将token存储在 localstorage里面,在一个统一的地方复写请求头,让每次请求都在header中带上这个token, 当token失效的时候,后端肯定会返回401,这个时候在你可以在前端代码中操作返回登陆页面,清除localstorage中的token就好。 2、Storage的localStorage长期有效,sessionStorage关闭浏览器时会自动清除 3、vue存...
vue项目中http请求中如何携带token
吴佳强的博客
06-12 7742
http请求中全局配置token
前端给后台返回的接口携带token
R_RA222的博客
07-08 9415
后台在接口中添加token验证 前端需要后台返回的所有接口请求都带token,而且这个都会携带一个默认过期时间,如果遇到token过期,就会返回一个错误提示码 如下对token指令进行判断 如果状态码 == 77777 就弹框 “令牌过期” 并直接跳转到登录页 if(res.code == 77777){ this.$message({ message: res.msg, type: 'warning' }); this.$router.push('
基于token进行登录,每次请求携带token
Yajyaj123的博客
04-25 902
JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。
Token以及Token的存储
CatCherry的博客
05-06 5756
客户端发送HTTP请求携带的“令牌”,用来鉴权、身份验证(服务器可以知道是谁在请求
vue 回调完成token保存
09-05
在Vue中,可以通过回调函数来完成token保存。 首先,在登录成功后,后端会返回一个token前端前端可以通过一个回调函数来接收这个token,并将其保存在本地。例如: ```javascript // 在登录成功后,后端返回的数据中包含token { "token": "xxxxx" } // 在Vue组件中定义一个回调函数,用于保存token methods: { saveToken(token) { // 将token保存在本地存储中 localStorage.setItem('token', token); } } ``` 然后,在登录成功的回调函数中,将接收到的token传递给`saveToken`方法: ```javascript // 假设登录成功的回调函数为handleLoginSuccess handleLoginSuccess(response) { const token = response.data.token; // 调用保存token的方法 this.saveToken(token); } ``` 这样,当登录成功并获取到token时,会将token保存在本地的localStorage中。后续可以通过`localStorage.getItem('token')`来获取该token信息,以便在其他请求中使用。 需要注意的是,使用localStorage保存token存在一定的安全风险,可以考虑使用其他更安全的存储方式,或加密token数据以提高安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值