Node登录权限验证token验证的原理和实现
1. token的使用场景
- 无状态请求
- 保持用户的登录状态
- 第三方登录(token+auth2.0)
2. 基于token的验证原理
后端不再存储认证信息,而是在用户登录的时候生成一个token,然后返回给前端,前端进行存储,在需要进行验证的时候将token一并发送到后端,后端进行验证
加密的方式:对称加密和非对称加密,对称加密指的是加密解密使用同一个密钥,非对称加密使用公钥和私钥,加密用私钥加密,解密用公钥解密
3. 基于Token的身份验证的过程如下:
客户端:用户名和密码请求登录
服务器:收到请求,验证用户名和密码,验证成功后,分发一个Token返回给客户端
客户端:将Token存储,例如放在 Cookie 里或者 Local Storage 里,后续每次请求,带上此Token
服务器:收到请求,验证Token是否正确,验证成功返回请求数据
4. node + jwt(jsonwebtoken) 搭建token身份验证
- 安装 ActivePerl https://www.activestate.com/activeperl/downloads
- 安装 OpenSSl http://slproweb.com/products/Win32OpenSSL.html
- 在 ras 文件 终端夹下输入 openssl
- 生成私钥
openssl> genrsa -out ./private_key.pem 1024
- 生成公钥
openssl> rsa -in ./private_key.pem -pubout -out ./public_key.pem
- 下载包 jsonwebtoken
npm i jsonwebtoken -D // 安装jsonwebtoken模块
const jwt = require('jsonwebtoken'); //引入包
- 通过私钥生成 token,发送给前端
let private_key=fs.readFileSync(path.join(__dirname,'./private_key.pem'))
var token = jwt.sign(palyload, private_key,{ algorithm: 'RS256'});
-
后端接收 token 验证是否有 token,没有则生成
-
前端把 token 存再 localStorage 或者 cookie 里
$.ajax({
url:'http://localhost:3000/login',
data: {
username:username.value,
password:password.value