token的用户验证

最新推荐文章于 2022-09-08 18:33:04 发布
最新推荐文章于 2022-09-08 18:33:04 发布
阅读量404 收藏
点赞数
文章标签: jwt cookie session node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/queryselectorall/article/details/104830550
版权

token的思想

相对于session token在服务端不需要存储用户的登录记录,全部发给客户端有客户端自己存(cookie,local)

1、客户端使用用户名跟密码请求登录
2、服务端收到请求,去验证用户名与密码
3、验证成功后,服务端会签发一个 Token(加了密的字符串),再把这个 Token 发送给客户端
4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
5、客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6、服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

const express = require('express')//引入封装服务器的express模块
const jwt = require('jsonwebtoken')//引入 token 的模块
const bodyparser = require('body-parser') //进入body-parser 这个中间件 这个可以让服务端可以接收到post请求携带的参数

let app =  express()//创建一个服务器
app.listen(8000,localhost,()=>{console.log("监听服务器成功")})//监听服务器

app.use(express.static('./public'))//设置静态托管 参数是你的静态页面的存储地址


//登录并返回加密字符串 token
app.get('/api/login',(req,res)=>{
    console.log(req.query)
   let token =  jwt.sign({username:req.query.username},'ccccc',{expiresIn:60})这里单位时s
   //设置token 并且返回给客户端 服务端不存储 
   //第一个参数是存储请求携带的用户的用户名参数
   //第二个参数可以是加密规则,字符串,或者私钥path模块
   //第三个参数是设置失效时间
    res.send({
        err:0,
        data:'登陆成功',
        token:token//当你设置成功给客户端返回这个加密字符串(token)让客户端存起来(cookie或者localhost)
    })
})

//验证是否登录
app.get('/api/user',(req,res)=>{
	//获取地址上 或不再地址上 或者请求头里面的token参数
    let token = req.query.token || req.body.token || req.headers.token
    //这里再次请求是如果携带的参数中有token这个属性 且和原来签发到客户端的token相同则表示验证成功 该用户已经登陆过
    //验证 解密 用jwt的verify方法  
    //第一个参数是你获取的token值 第二个是你当时签发token时设置的加密规则,第三个时回调函数 err 为null就是成功  decode 是的到的参数对象以及 cookie时效
    jwt.verify(token,'ccccc',(err,decode)=>{
        console.log('err',err) //错误的时候会报错 没有错误则会显示null
        console.log('encode',decode)//{ username: '张三', iat: 1584014286, exp: 1584014346 } 前面的是请求时间  后面的是到期时间
        if(err){ //一旦报错会显示用户信息校验失败
            res.send('用户验证错误............')
        }else{
            res.send({
                err:0,
                msg:'登陆成功',
                data:'user的库数据'
            })
        }
    })
})
//删除token由客户端进行删除

与session的区别
session的服务端保存用户信息 而token的服务端不保存
session不能避免csrf攻击 而token可以
session安装性一般 token 安装性很强
session有多服务器粘性问题 而 token没有

注:多服务器粘性问题
当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“未认证”的响应。你可以通过一个粘性 session 解决这个问题。然而,在基于 token 的认证中,这个问题很自然就被解决了。没有粘性 session 的问题,因为在每个发送到服务器的请求中这个请求的 token 都会被拦截

MakabakaGoodnight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django基于存储在前端的token用户认证解析
09-18
Token认证通常基于JSON Web TokenJWT)或类似的结构,其核心思想是在用户登录成功后,服务器端生成一个Token,然后发给客户端(通常是Web浏览器或移动应用)。客户端在后续的每个请求中都会携带这个Token。服务器...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C# Web用户令牌(Token验证是一种常见的方式,用于防止未经授权的HTTP请求,如GET和POST,确保数据的安全传输。本技术介绍将深入探讨如何使用C#实现令牌验证机制,并结合Nginx集群与SSL证书来增强WebAPI的安全性。...
php srs api,srs 身份认证
weixin_42154650的博客
03-11 532
用过很多免费的视频工具,从red5,crtmp到srs,总体来说srs还算比较完善的,比较稳定的。到止前为止,srs发布的稳定最新版srs 1.0r4 release,下面的测试都是根这个版本来进行的。1,服务器说明srs服务器 192.168.1.108web服务器 192.168.1.2082,srs文件配置目录/usr/local/srs/conf/[root@localhos...
认证,权限
weixin_30416497的博客
12-17 102
-认证 -写一个类: class LoginAuth(): # 函数名一定要叫authenticate,接收必须两个参数,第二个参数是request对象 def authenticate(self, request): # 从request对象中取出token(也可以从其它地方取) token = request.query_params.get('to...
SRS中增加身份验证
weixin_30824479的博客
01-12 859
作为一个rtmp服务器,基本的验证机制是需要有的,srs很巧妙的使用了http callback的方式来实现验证机制,我测试的情况如下: 1)首先,在服务器上,使用了如下配置: listen 1935; max_connections 1000; vhost __defaultVhost__ { gop_cache off; ...
《直播从零开始》SRS 回调授权与管理
郎涯技术
11-26 2788
1、HTTP回调 HttpCallBack 事件:发生该事件时,回调指定的HTTP地址 HTTP地址:可以支持多个,以空格分隔,SRS会依次回调这些接口 数据传输:SRS将数据POST到HTTP接口 修改配置文件 配置文件需要开启http_hooks: listen 1935; max_connections 1000; vhost __defaultVhost__ { http_hooks { enabled on; on_con
获取query传参的token
最新发布
Shenzhiyong159的博客
09-08 323
queryName = decodeURIComponent(queryName) 函数可把字符串作为 URI 组件进行j解码。//encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。// 查看token
基于redis实现token验证用户是否登陆
01-19
基于项目需求, 我们要实现一个基于redis实现token登录验证,该如何实现呢: 后端实现: 1.引入redis相关的依赖 <groupId>org.springframework.boot <artifactId>spring-boot-starter-data-redis <groupId>...
PHP token验证生成原理实例分析
10-16
Token验证就是为了解决这个问题,确保每个表单提交或者API请求都是合法且来自用户的主动行为。 PHP中的Token验证原理主要包括以下几个步骤: 1. **生成Token**:在用户发起请求时,服务器端会生成一个唯一的、随机...
手摸手教你使用srs服务搭建毫秒级延时直播
phoenix3k的博客
08-10 4174
之所以要搭建一个在公网环境下一对一毫秒级延时的直播, 就是为了做一个不限遥控距离的小车, 使用安卓手机基于aoa协议+4g/5g实现, 理论上只要电池有电(可采用太阳能方案)和有4g/5g信号的地方, 坐在屋里可以遥控着小车满世界的跑...不好意思跑题了, 进入正题. srs服务之强大我不废话, 如果想看官方wiki, 请直接移步github或者gitee, 我建议访问gitee: 因为速度快https://gitee.com/winlinvip/srs.oschina/w...
5组-SRS验证1
08-04
1. 兼容性 2. 完备性 3. 一致性 4. 正确性 5. 可行性 6. 易修改性 7. 健壮性 8. 易追溯性 9. 易理解性
SRS流媒体服务器源码分析:Rtmp publish流程
C/C++Linux、音视频、DPDK
03-02 702
相关视频: SRS流媒体服务器源码剖析 线程模型 srs使用了state-threads协程库,是单线程多协程模型。 这个协程的概念类似于lua的协程,都是单线程中可以创建多个协程。而golang中的goroutine协程是多线程并发的,goroutine有可能运行在同一个线程也可能在不同线程,这样就有了线程安全问题,所以需要chan通信或者mutex加锁共享资源。 而srs因为是单线程多协程所以不用考虑线程安全,数据不用加锁。 主流程分析 撇掉程序启动的一些初始化和设置,直接进入: int SrsServ
SRS学习笔记2
weixin_30906185的博客
05-09 270
main函数分析: 位于main\srs_main_server.cpp // never use srs log(srs_trace, srs_error, etc) before config parse the option, // which will load the log config and apply it. if ((ret = _srs_confi...
关于token和refresh token
热门推荐
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上tokencookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户session,而由sessi...
srs流媒体服务器运维(2)--rtmp集群之edge边缘服务器
qq_31337793的博客
07-20 4549
Edge边缘服务器 SRS的Edge提供访问时回源机制,在CDN/VDN等流众多的应用场景中有重大意义, forward/ingest方案会造成大量带宽浪费。同时,SRS的Edge能对接所有的RTMP源站服务器, 不像FMS的Edge只能对接FMS源站(有私有协议);另外,SRS的Edge支持SRS源站的所有逻辑 (譬如转码,转发,HLS,DVR等等),也就是说可以选择在源站切片HLS,也可以直...
srs代码学习(4)-怎么转发流
幽雨雨幽
10-12 988
publish的流和play的流怎么连接呢?这个恐怕是最绕的地方了。看了一上午的代码,淹没于各种数据结构与流程之中后,俺终于发现了连接publish和play的关键连个类是 SrsSource SrsConsumer 负责连接着连个类实例的是 SrsRtmpConn  下面我们详细讲解连接过程 上片我们说到。在底层客户端连接上来后,会经过
[SRS+docker]实现直播服务器 10 推流防盗链实现
wltsysterm的博客
08-10 1388
前言 前面的文章,已经完成了基于SRS的直播的实现的所有技术细节。从这一篇开始分享,如何从性能、安全等维度优化直播服务器。 这一篇分享如何给直播服务器添加推流防盗链。 什么是防盗链 引用别人的zong 网站资源都有域的概念,浏览器加载一个站点时,首先加载这个站点的首页,一般是index.html或者index.php等。页面加载,如果仅仅是加载一个index.html页面,那么该页面里面只有文本,最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。 那么我们看到的各类元素丰富..
SRS(简单实时视频服务) 笔记(3)- 配置文件和Http回调
张云飞Vir的专栏
05-06 1744
0.背景 SRS 的配置文件是 srs.conf,它位于 conf 文件夹下。配置文件描述了SRS 的配置和开启功能的情况。 1.开发阶段时修改配置文件 在开发过程中,想尝试修改配置文件来启动SRS怎么办呢?可选的一个方式是 使用docker 的 -v 参数指定一个映射卷来做。 思路 在 docker run 时,将本机的文件夹映射为 容器的一个 卷。 注意: --name : 为容器指定一个名称...
Spring Boot JWT Token 认证 (JAVA WEB TOKEN)
srs1995的博客
12-17 506
Spring Boot REST 风格 API 接口 JWT Token 认证 (JAVA WEB TOKEN) 文章目录Spring Boot REST 风格 API 接口 JWT Token 认证 (JAVA WEB TOKEN)需求分析核心依赖核心代码Token 拦截器测试 需求分析 接口认证需求: 1 能够有选择地过滤没有权限(Token)的请求 2 Token 具有时效性 3 如果用户连...
JWT Token实现与用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值