服务端鉴权之Token——node

最新推荐文章于 2024-04-06 19:00:00 发布
最新推荐文章于 2024-04-06 19:00:00 发布
阅读量891 收藏 4
点赞数
分类专栏: node 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40970987/article/details/109562221
版权

Token鉴权原理

  1. 客户端使用用户名和密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个令牌(token),再把这个token发送给客户端
  4. 客户端收到token以后可以把它存储起来,如放在localStorage或Cookie中
  5. 客户端每次向服务端请求资源的时候都需要带着服务端签发的Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就像客户端返回请求的数据

Koa实现Token鉴权

通过jsonwebtoken加签,koa-jwt验签
token本质上就是一种签名
服务端

const koa = require('koa')
const router = require('koa-router')()
const jwt = require('jsonwebtoken')
const jweAuth = require('koa-jwt')
//秘钥
const secret = "it's a secret"
const cors = require('koa2-cors')
const bodyParser = require('koa-bodyparser')
const static = require('koa-static')
const app = new koa()
app.keys = ['some secret']
app.use(static(__dirname+'/'))
app.use(bodyParser())

router.post("/login-token", async ctx => {
    const {body} =ctx.request
    const userinfo = body.username
    ctx.body = {
        message:"登录成功",
        user:userinfo,
        //生成token,返回给客户端
        token:jwt.sign({
            data:userinfo,
            //设置过期时间,单位为秒
            exp:Math.floor(Date.now()/1000)+60*60
        },secret)
    }
    /*
    {
        "message":"登录成功",
        "user":"test",
        "token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjoidGVzdCIsImV4cCI6MTYwNDgzNTQzNywiaWF0IjoxNjA0ODMxODM3fQ.dHOVcVGt_QemICoiyEdZJR2MSHuoVXD-U_KDCGD0g-w"}
    */
})

router.get(
    "/getUser-token",
    //验签
    jweAuth({secret}),
    async ctx => {
        //ctx.state可以获取到加签时的数据
        ctx.body = {
            message:"获取数据成功",
            userinfo:ctx.state.user.data
        }
        /**
         * {"message":"获取数据成功","userinfo":"test"}
         */
    }
)

app.use(router.routes())
app.listen(3000)

客户端

<html>
  <head>
    <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
    <script src="https://unpkg.com/axios/dist/axios.min.js"></script>
  </head>

  <body>
    <div id="app">
      <div>
        <input v-model="username" />
        <input v-model="password" />
      </div>
      <div>
        <button v-on:click="login">Login</button>
        <button v-on:click="logout">Logout</button>
        <button v-on:click="getUser">GetUser</button>
      </div>
      <div>
        <button @click="logs=[]">Clear Log</button>
      </div>
      <!-- 日志 -->
      <ul>
        <li v-for="(log,idx) in logs" :key="idx">
          {{ log }}
        </li>
      </ul>
    </div>
    <script>
      axios.interceptors.request.use(
        config => {
          const token = window.localStorage.getItem("token");
          if (token) {
            // 判断是否存在token,如果存在的话,则每个http header都加上token
            // Bearer是JWT的认证头部信息
            config.headers.common["Authorization"] = "Bearer " + token;
          }
          return config;
        },
        err => {
          return Promise.reject(err);
        }
      );

      axios.interceptors.response.use(
        response => {
          app.logs.push(JSON.stringify(response.data));
          return response;
        },
        err => {
          app.logs.push(JSON.stringify(response.data));
          return Promise.reject(err);
        }
      );
      var app = new Vue({
        el: "#app",
        data: {
          username: "test",
          password: "test",
          logs: []
        },
        methods: {
          async login() {
            const res = await axios.post("/login-token", {
              username: this.username,
              password: this.password
            });
            localStorage.setItem("token", res.data.token);
          },
          async logout() {
            localStorage.removeItem("token");
          },
          async getUser() {
            await axios.get("/getUser-token");
          }
        }
      });
    </script>
  </body>
</html>

JWT(JSON WEB TOKEN)原理解析

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjoidGVzdCIsImV4cCI6MTYwNDgzNTQzNywiaWF0IjoxNjA0ODMxODM3fQ.dHOVcVGt_QemICoiyEdZJR2MSHuoVXD-U_KDCGD0g-w

生成的token包含三部分,分别用base64解码可得
{“alg”:“HS256”,“typ”:“JWT”}
{“data”:“test”,“exp”:1604835437,“iat”:1604831837}
由上可知,Bearer Token包含三个组成部分:令牌头、payload、哈希
签名
默认使用base64对payload编码,使用hs256算法对令牌头、payload和秘钥进行签名生成哈希
验签
默认使用hs256算法对令牌中得数据签名并将结果和令牌中的哈希比对

HMAC SHA256 HMAC(Hash Message Authentication Code,散列消息鉴别码,基于密钥的Hash算法的认证协议。消息鉴别码实现鉴别的原理是,用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。使用一个密钥生成一个固定大小的小数据块,即MAC,并将其加入到消息中,然后传输。接收方利用与发送方共享的密钥进行鉴别认证等。

BASE64按照RFC2045的定义,Base64被定义为:Base64内容传送编码被设计用来把任意序列的8位字节描述为一种不易被人直接识别的形式。(The Base64 Content-Transfer-Encoding isdesigned to represent arbitrary sequences of octets in a form that need not be humanlyreadable.)常见于邮件、http加密,截取http信息,你就会发现登录操作的用户名、密码字段通过BASE64编码的

Beare作为一种认证类型(基于OAuth 2.0),使用"Bearer"关键词进行定义

session/cookie和token两种鉴权方式对比

  1. session要求服务端存储信息,并且根据id能够检索,而token不需要(因为信息就在token中,这样实现了服务端无状态化)。在大规模系统中,对每个请求都检索会话信息可能是一个复杂和耗时的过程。但另外一方面服务端要通过token来解析用户身份也需要定义好相应的协议(比如JWT)。
  2. session一般通过cookie来交互,而token方式更加灵活,可以是cookie,也可以是header,也可以放在请求的内容中。不使用cookie可以带来跨域上的便利性。
  3. token的生成方式更加多样化,可以由第三方模块来提供。
  4. token若被盗用,服务端无法感知,cookie信息存储在用户自己电脑中,被盗用风险略小。
star-1331
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于 Token 的身份验证:JSON Web Token
qq_34441176的博客
08-06 4998
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 文章先介绍了一下传统身份验证与基于 JWT 身份...
Node.js 模块之【passport】进行本地【用户名+密码】(一)
zhagener
03-14 7622
安装 passportnpm i passport npm i passport-local添加模块(上面几个为依赖模块)var cookieParser = require('cookie-parser'); var bodyParser = require('body-parser'); var session = require('express-session'); var MongoSto
token发布与验证(服务
sayhitoloverOvO的博客
10-14 369
将所有的认证和授配进行整合 package com.jt.resource.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframew
使用Token方式实现用户身份认证
最新发布
2301_78276982的博客
04-06 906
Token,也称为“令牌”,是服务生成的一串字符串,以作客户进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户,以后客户只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
客户请求服务token方案
hejias的专栏
05-08 547
公司在麓谷创新产业园,当app进行第一次 加载 config 接口时候,请求的 https 里面 head 里面token 为空,当登陆后,token放进去 1.当用户登陆时候,用户名密码请求serverlet 当经过过滤器,将接口pass过去 ,返回时候,生成tokentoken生成规则 用户id+时间戳,后100000_1620469387226,然后AES +密码 或者base64 +密码返回 2.当https 正常请求时候(例如加载首页数据),带上token ,进过滤器时候,获取head.
Node.js 模块之【passport】第三方【Github】(二)
zhagener
03-15 2386
1. 安装模块npm i connect-mongo --save-dev npm i passport --save-dev npm i passport-github --save2. 引入模块及其他依赖模块var session = require('express-session'); var MongoStore = require('connect-mongo')(session); v
OneNET平台token计算工具_物联网_
09-21
OneNET平台token计算工具,可以用于token计算
SpringBoot使用token简单的具体实现方法
08-25
SpringBoot 使用 Token 简单的具体实现方法 本文主要介绍了使用 SpringBoot 实现 token 简单的具体实现方法,通过示例代码详细介绍了相关内容,对大家的学习或者工作具有一定的参考学习价值。 一、简介 ...
node.js之express的token验证
10-24
基于 express 封装的用户功能,基本原理: 1、用 jsonwebtoken 生成 token 2、用 express-jwt 验证 token 是否过期或失效 3、用 jsonwebtoken 解析出 token 中的用户信息,比如用户 id
node.js 微信开发之定时获取access_token
10-15
本文给大家分享的是在使用node.js做微信开发的过程中如何定时获取access_token的方法,有需要的小伙伴可以参考下
0.34 http通信基础、cookies、授token.mp4
07-07
0.34 http通信基础、cookies、授token.mp4
Node.js 中的令牌解析与实践
zhong_333的博客
12-15 101
在现代 Web 开发中,安全性是至关重要的。随着前后分离架构的普及和复杂性的提升,我们需要一种有效的方式来进行用户身份验证和授管理。在 Node.js 中,使用令牌(Token)来进行已经成为了一种非常流行和有效的方式。本文将详细介绍 Node.js 中常见的令牌类型,并结合历史背景和实际示例进行解析和实践。令牌是一种用于验证用户身份和限的机制。它通过将用户信息进行加密生成一个特定格式的令牌,并在用户请求中携带这个令牌来验证用户的身份和限。
Node如何实现jwt机制?说说你的思路
web秀
05-10 474
一、是什么 JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息 在目前前后分离的开发过程中,使用token机制用于身份验证是最常见的方案,流程如下: 服务器当验证用户账号和密码正确的时候,给用户颁发一个令牌,这个令牌作为后续用户访问一些接口的凭证 后续访问会根据这个令牌判断用户时候有限进行访问 Token,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以.进行拼接。其中头部和载.
node】脚手架搭建服务器,完成token验证
Jdoit CW的博客
07-29 1万+
内容
游戏服务器中的token
focus-unchanged-thing
11-16 2315
1)cookie有一定的加密性,因此在前登录认证后,服务会生成一个tokentoken存到cookie中,然后前再下次请求时自动带上cookie,这样子就可以知道是哪个用户的请求了,当然token带有声明周期。 2)拿vue写前,那么可以使用js-cookie这个包轻松存cookie。 .........
node生成token与验证token(typeScript语法)
温壁
12-22 1308
1、首先安装jsonwebtoken (c)npm install jsonwebtoken -S 2、根据前发送的登录信息,生成对应token import { Router,Request,Response } from "express"; import jwt from 'jsonwebtoken'; export default (router:Router) => { router.post('/',(req:Request,res:Response) => {
nodetoken的登录验证
tianxingege_的博客
09-02 628
利用Nodejs搭建简单的Token验证 通过api来请求token,不再使用账号密码,因为账号密码非常关键,一般情况都会使用到token。 模拟使用 // 获取发送数据 router.get("/list", (req, res) => { //通过req获取客户数据 const token = (req.headers["authorization"] || "").split(" ").pop() //进行privateKey解密 const
什么是tokentoken是用来干嘛的?怎么使用?
热门推荐
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
egg搭建的node服务使用token,前每次请求携带token
xiaoyanwuTrue的博客
06-18 825
egg搭建的node服务使用token,jwt生成验证token,中间件过滤请求,前每次请求携带token
session和cookiestoken原理各是什么
06-08
Session:Session是通过在服务保存用户的会话信息,来验证用户身份的一种方式。当用户访问某个需要登录的页面时,服务器会生成一个Session ID,并将该ID保存在服务。之后,每次用户访问需要登录的页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值