登录鉴权session和JWT

已于 2024-03-25 16:02:45 修改
阅读量353 收藏 7
点赞数 8
分类专栏: node 文章标签: node.js
于 2024-01-29 18:12:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44891982/article/details/135842043
版权

Cookie和Session

流程: 浏览器post账号密码,服务端校验成功,将session储存(session是存在于服务端的),
给前端设施cookie值(sessionID),以后每次请求携带sessionID.

安装express-session,自动生成sessionID
npm i express-sission
----------------------------------------------
app.js中引入
const session = require("express-session")
// 注册
app.use(session({
  name: "system", // cookie名字
  secret: "123qwsdqwe", // 密钥 可以随便写
  cookie: {
    maxAge: 1000 * 60 * 60,  // 过期时间,毫秒
    secure: false, // false在http中可以获取, true必须在https中才能获取到
  },
  rolling: true, // 超时前刷新,cookie都会重新计时
  resave: true, // 重新设置session后,会重新设置session时间 
  saveUninitialized: true, // 初始时是否生成cookie, 不影响业务, true时第一次生成的cookie也是无效的
}))
-------------------------------------------------------
登陆接口调用成功时设置session
// 登陆查询
async function selectUser(req, res, next) {
  const {username, password } = req.body
  const data = await loginService.selectUser(username, password)
  if( data.length !== 0 ) {
    // 设置session
    req.session.user = data[0] // 设置session对象,挂载信息,挂在布尔值也行(就是登陆成功存储session这个过程)默认存储在内存中
    res.send({
      success: true,
      msg: "登陆成功",
      data
    })
  } else {
    res.send({success: false, msg: "用户名或密码错误", data})
  }
}
----------------------------------------------------------------------------
渲染页面是判断是否具有有效的session
router.get('/', function(req, res, next) {
  // 跳转页面时判断一下req.session.user是否存在
  if(req.session.user) {
    res.render('index', { title: 'Express' });
  } else {
    res.redirect("/login")
  }
});
此时即使cookie过期,只要没有刷新页面,其他接口都可以正常被访问.需要设置中间件解决该问题

app.js中设置中间件
// 设置应用级中间件,进行session过期校验
app.use((req, res, next) => {
  // 先排除掉login相关的路由接口,不然会陷入死循环
  if(req.url.includes("login")){
    next()
    return
  }
  if(req.session.user){
    // 重新设置session,达到每次访问接口重新计算session过期时间
    req.session.date = Date.now()
    next()
  } else {
    // 判断 是接口,返回错误码, 不是接口 就可以重定向,接口只会返回数据, 重定向是无法生效的
    res.redirect("/login")
  }

})

退出 销毁session

// 退出登陆
async function logout(req, res, next) {
  req.session.destroy(() => {
    res.send({
      success: true,
      msg: "销毁成功"
    })
  })
}

持久化存储session
connect-mongo中间件

安装模块
npm i connect-mongo
----------------------------------
app.js引入中间件
const MongoStore = require("connect-mongo")
----------------------------------------------------
注册session中间件
app.use(session({
  name: "system", // cookie名字
  secret: "123qwsdqwe", // 密钥 可以随便写
  cookie: {
    maxAge: 1000 * 60 * 60,  // 过期时间,毫秒
    secure: false, // false在http中可以获取, true必须在https中才能获取到
  },
  resave: true, // 每次访问接口,cookie都会重新计时, false只会按第一次生成的时间计时 
  saveUninitialized: false, // 初始时是否生成cookie, 不影响业务, true时第一次生成的cookie也是无效的
  store: MongoStore.create({
    mongoUrl: "mongodb://127.0.0.1:27017/Wzx_test_session", // 新创建了一个数据库, 不是表
    ttl: 1000 * 60 * 60 // 过期时间  一定要与上面的保持一致
  })
}))

JWT

安装模块
npm i jsonwebtoken
-------------------------------------------------
app.js中引入
const jwt = require("jsonwebtoken")
----------------------------------------------
加密
let token = jwt.sign({
  data: "需要加密的数据",
  "srcret", // 密钥
  {expiresIn: 60 * 60}, // 过期时间(秒)
})
-----------------------------------------------------
校验
let decoded = jwt.verify(token, "srcret") // 密钥要一致

封装
JWT.js文件中
// 引入模块
const jwt = require("jsonwebtoken")
// 设置密钥
const srcret = "Wzx-anyData" 
const JWT = {
  generate(value, expiresIn){
    return jwt.sign(value, srcret, {expiresIn: expiresIn})
  },

  verify(token){
    try {
      return jwt.verify(token, srcret)
    } catch (error) {
      return false
    }
  },
}

module.exports = JWT

登陆时设置token, 放在header的Authorization// 登陆查询
async function selectUser(req, res, next) {
  const {username, password } = req.body
  const data = await loginService.selectUser(username, password)
  if( data.length !== 0 ) {
    // 设置token
    const token = JWT.generate({
      _id: data[0]._id,
      username: data[0].username
    }, "1h")
    // token返回在header中
    res.header("Authorization", token)
    res.send({
      success: true,
      msg: "登陆成功",
      data,
    })
  } else {
    res.send({success: false, msg: "用户名或密码错误", data})
  }
}
--------------------------------------------------------------------
前端在axios的响应拦截器中存储token
axios.interceptors.response.use((res) => {
  const { authorization } = res.headers
  authorization  && localStorage.setItem("token", authorization )
  return res
}, (err) => {
  // token失效  后端设置的401
  if(err.response.status === 401) {
    // 前端删除token
    localStorage.removeItem("token")
  }
  return Promise.reject(err)
})
------------------------------------------------------------
前端每次请求时携带token
axios.interceptors.request.use((config) => {
  const token = localStorage.getItem("token")
  // 习惯拼接Bearer加空格token
  config.headers.authorization = `Bearer ${token}`
  return config
})
--------------------------------------------------------------------
后端校验token
app.use((req, res, next) => {
  // 先排除掉login相关的路由接口,不然会陷入死循环
  if(req.url.includes("login")){
    next()
    return
  }
  // 可选链 req.headers["authorization"]为true时, 才会执行split
  // 如果是第一次进入,没有token, 此时的req.headers["authorization"]是一个null字符串
  const token = req.headers["authorization"]?.split(" ")[1]
  if(token) {
    const payload = JWT.verify(token)
    if(payload){
      // 重新计算token过期时间
      const newToken = JWT.generate({
        _id: payload._id,
        username: payload.username
      }, "1h")
      res.header("Authorization", newToken)
      next()
    } else {
      res.status(401).send({
        success: false,
        msg: "token过期"
      })
    }
  } else {
    next()
  }
})
那时年少 岁月静好
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT实现单点登录鉴权
m0_46549085的博客
06-15 789
1.自定义JWTUtils工具类,根据用户名生成token import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import java.util.Date; /** * JWT工具类 */ public class JwtUtil { //定义秘钥:类似于盐值加密 private final static String SECRET
Session相关知识点PDF版本
05-30
包括Session的定义,特点,重要属性,优缺点,作用和使用场景,以及介绍Session的作用域及相关判断,总结了Cookie与Session之间的区别。...终章:主要介绍JWT并总结JWT和Token的区别,以及总结Cookie到Token
鉴权 cookie session token的区别
qq_43844012的博客
04-19 1391
背景 在B站看到一个up的详细解说cookie、session、tocken觉得讲的挺透彻的,于是就趁热记录一下。 一、鉴权是什么? 鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。 为什么呢? 这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。 说到这里,又不得不说一下http协议的工作原理。 简单来说,就是客户端(浏览器)发起请求,服务器端接
Session鉴权登录
qq_44182694的博客
03-19 825
我们经常会遇到去一个网站,当你执行一个操作的时候需要登录 那么网站或者app是如何获知我们是否登录的呢? 今天介绍一个比较经典的方法 httpsession Session在HttpServletRequest request //serivce层 //将之前mapper层的注入过来 @Autowried private SysUserService sysusermapper; public Returndata login(Sysuser user,HttpServletRequest reques
前端认证登录鉴权--SessionJWT简介
桃子阿桃
10-17 3264
Session 工作原理
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
node-admin-backend:node全栈,后端通用模板,用到的技术栈 nodejs、express、mysql、redis、jwtsession、crypto-js
05-23
一个nodejs、express、mysql、redis、jwtsession、crypto-js写的后台模板,提供初学者学习,详细的模块划分 src/ authentication 鉴权模块操作 common 公共资源模块操作处理 connect 数据库链接模块 public 静态...
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
—— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 ...
jwt:Flask JWT示例
04-19
sessionjwt即为两种解决方案。 JWT 全称:Json Web Token,一种 web 认证标准【解决方案】;是使用特定数据结构(header、payload、signature)包含信息(如请求客户端的用户和权限信息)、特定算法(加密)、特定...
node.js学习
enhenglhm的博客
06-11 1150
node.js学习实操过程及笔记~ 温故而知新~
Node.js环境安装与管理指南
2401_82794950的博客
06-14 489
Node.js作为一个高效的JS运行环境,已经成为了现代Web开发的标配之一。但Node.js版本众多,不同项目可能需要不同版本的Node环境,如何管理这些版本成为了一个技术难题。本文将介绍如何使用NVM(Node Version Manager)来管理多个Node.js版本,并为你提供一个简单直观的指南,帮助你在本地环境中安装和管理Node.js
【达梦数据库】typeorm+node.js+达梦数据库返回自增列值
qq_33965675的博客
06-17 186
typeorm 连接达梦获取自增列值
Node.js 入门:
MAMA6681的博客
06-16 470
了解 Node.js 的基本概念,包括它是一个基于 Chrome V8 引擎的 JavaScript 运行环境,以及它的事件驱动、非阻塞 I/O 模型 [^75^][^78^]。- 学习 Node.js 的模块系统,包括如何使用 `require` 引入模块,以及 `exports` 和 `module.exports` 的区别和使用 [^69^]。- 理解 Node.js 的事件循环机制,这是 Node.js 能够实现非阻塞 I/O 操作的核心 [^69^]。
基于易支付二开的前端模板美化源码.zip
06-17
基于易支付二开的前端模板美化源码
pyzmq-18.0.0-cp35-cp35m-manylinux1_i686.whl
最新发布
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
51单片机定时器-0模拟PWM输出源程序
06-17
51单片机定时器-0模拟PWM输出源程序 51单片机定时器0模拟PWM输出C程序例程,适合刚接触PWM波调光、调速等应用场合,程序方便移植,能够直接使用
简历模板简洁风红色肌理红色肌理风格.zip
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!记住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
protobuf-3.15.7-cp35-cp35m-manylinux1_x86_64.whl
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
springboot vue登录界面使用jwt鉴权
11-24
为了实现SpringBoot+Vue前后端分离的登录界面使用JWT鉴权,需要进行以下步骤: 1.在SpringBoot中配置SpringSecurity,包括用户认证和授权,可以参考引用中的实现方式。 2.在SpringBoot中配置JWT,包括生成Token和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值