Express安全验证——密码加密与鉴权

最新推荐文章于 2024-04-09 12:05:54 发布
最新推荐文章于 2024-04-09 12:05:54 发布
阅读量1.7k 收藏 6
点赞数 1
分类专栏: Node.js 文章标签: jwt openssl nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45925906/article/details/116898442
版权

目录

bcrypt密码加密

在实际应用中,直接将用户密码以明文信息进行存储是不安全的做法,这里讲解一下如何使用密码解析与解析

  1. 安装bcrypt模块
yarn add bcrypt
  1. 加密与解析函数
    这里需要自己进行promise的封装,才能避免因为异步的原因导致出错
exports.hash = (myPlaintextPassword) => {
    return new Promise((resolve, reject) => {
    //第二个参数是盐
        bcrypt.hash(myPlaintextPassword, 10, function (err, hash) {
            if(err){
                reject(err)
            }else{
            //成功则返回加密后的hash值
                resolve(hash)
            }
        })
    })
}

exports.compare=(myPlaintextPassword,hash)=>{
    return new Promise((resolve,reject)=>{
        bcrypt.compare(myPlaintextPassword,hash,(err,result)=>{
            if(err){
                reject(err)
            }else{
                resolve(result)
            }
        })
    })
}
  1. 在注册接口中将传回来的密码进行加密
const signup = async (req, res, next) => {
    res.set('content-type', 'application/json;charset=utf-8')

    const { username, password } = req.body
    //进行密码加密
    const bcryptPaaword = await hash(password)
    const isexit = await UserModel.findOne({ username })
    if (isexit) {
        res.render('fail', {
            data: '用户名已存在!'
        })
    } else {
        const result = await UserModel.signup({ username, password: bcryptPaaword })
        res.render('suc', {
            data: JSON.stringify(
                {
                    msg: '注册成功'
                }
            )
        })
    }

}

登录接口进行解析的方法在下面的鉴权中会一并说明

Cookie-Session鉴权

在服务端将用户名或其他信息生成session,每次用户请求时进行信息比对进行鉴权。

  1. 首先安装cookie-session第三方包
yarn add cookie-session
  1. 在app.js中进行注册
var cookieSession = require('cookie-session')

app.use(cookieSession({
  name: 'session',
  keys: ['key1', 'key2']
}))

这块有个坑,这里的注册需要在路由注册的上方,否则会报错。

  1. 注册成功之后,在每次登录成功之后的代码中进行session的存储。
const login = async (req, res, next) => {
    res.set('content-type', 'application/json;charset=utf-8')
    const { username, password } = req.body
    const result = await UserModel.findOne({ username })
    if (result) {
        const { password: hashPassword } = result
        //hash加密后进行密码的比对
        const isTrue = await compare(password, hashPassword)
        if (isTrue) {
            req.session.username=username
            res.render('suc', {
                data: JSON.stringify({
                    msg: '登录成功',
                    username,
                    token
                })
            })
        } else {
            res.render('fail', {
                data: JSON.stringify({
                    msg: '用户名或密码错误'
                })
            })
        }
    } else {
        res.render('fail', {
            data: JSON.stringify({
                msg: '用户名或密码错误'
            })
        })
    }
}
  1. 创建鉴权中间件
    新建一个auth.js,让需要鉴权的请求在每次请求前先经过auth鉴权,如果此前存储的username存在,则鉴权通过,否则返回让用户重新登录的信息
const auth=(req,res,next)=>{
    if(req.session.username){
    //放行,继续请求
        next()
    }else{
        res.render('auth', {
            data: JSON.stringify({
                msg: '无权限!请登录!'
            })
        })
    }
}


//在routes中,进行list请求前先经过auth请求
router.get('/list', auth,list)

使用cookie-session进行鉴权现在用法比较少,理由是多用户使用下,持续在服务器中存储session会造成服务器压力过大,目前比较流行的鉴权方式是token

Token鉴权

token鉴权是在用户登录成功之后,生成token返回给前端。之后前端每一次请求,都需要携带token,如果通过验证即可继续进行请求,token不必存储在服务器,由前端自行通过浏览器存储技术进行存储。

  1. 安装jsonwebtokn包
yarn add jsonwebtoken

token的加密有对称加密和非对称加密。
简单来说,对称加密其实就是加密和解密时所使用的密钥一致,非对称加密就是不一致,这块的非对称加密我们使用公钥和私钥。

  1. 安装openssl
    下载地址:http://slproweb.com/products/Win32OpenSSL.html
    这块的安装和设置环境变量不再赘述,自行百度或查看此文章
    https://blog.csdn.net/qq_39081974/article/details/81059022
  2. 创建keys文件夹,在里面执行以下命令,创建公钥和私钥
利用 openssl 生成公钥私钥 
生成公钥: openssl genrsa -out rsa_private_key.pem 1024 
生成私钥: openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
  1. 创建token和解析token函数
exports.createToken=(username)=>{
//读取私钥,根据用户名和私钥生成token,生成私钥时需要传入一个算法
    const private=fs.readFileSync(path.join(__dirname,'../keys/rsa_private_key.pem'))
    let token=jwt.sign({username},private,{ algorithm: 'RS256' })
    return token
}

exports.verifyToken=(token)=>{
//读取公钥,根据token和公钥解析token,不需要传入算法
    const public=fs.readFileSync(path.join(__dirname,'../keys/rsa_public_key.pem'))
    console.log(jwt.verify(token,public));
    return jwt.verify(token,public)
}
  1. 在auth中进行鉴权
    和上面cookie-session鉴权一样,需要由auth请求进行一个过滤
    获取请求头中的token进行解析,若出错则直接返回无权限
const auth = (req, res, next) => {
    const token = req.headers.token
    try {
        verifyToken(token)
        next()
    } catch (error) {
        res.render('auth', {
            data: JSON.stringify({
                msg: '无权限!请登录!'
            })
        })
    }
}
RunHio
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
express 接口进行鉴权,自定义鉴权中间件,并可携带参数
好巧的博客
06-18 1755
当然,如果你觉得文章有什么让你觉得不合理、或者有更简单的实现方法又或者有理解不来的地方,希望你在看到之后能够在评论里指出来,我会在看到之后尽快的回复你。解释:res.send() 或 res.json() 这类客户端返回的方法一个请求只能返回一次,如果多次返回就会出现这个错误。express.js中的中间件是一种处理应用程序中常见功能的强大,优雅的方法。例如接口在响应之前,对接口进行鉴权,调用 next() 函数通过鉴权。如果本篇文章对你有帮助的话,很高兴能够帮助上你。
Express/mongoose对数据库中密码加密处理
m0_74060440的博客
12-25 2202
对数据加密处理
express里面的鉴权express-session中间件的使用总结
最新发布
峰会路转的博客
04-09 453
Cookie 是存储在用户浏览器中的一段不超过4 KB 的字符串。它由一个名称(Name)、一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成。不同域名下的 Cookie 各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。Cookie的几大特性:①自动发送②域名独立③过期时限④4KB 限制。
Express下采用bcryptjs进行密码加密的方法
10-18
本篇文章主要介绍了Express下采用bcryptjs进行密码加密的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
登录鉴权——node(express框架)
mantou_riji的博客
07-09 1336
当用户想要访问主界面是,必须要判断用户是否登录,如果用户已经登陆就返回主界面,如果用户未登录就返回登录界面。不能说无论用户是否登录都可以通过修改请求路径直接跳转到主页面,这显然是错误的。解决该问题就是需要登录鉴权验证用户的身份我们一般有两种方式,一种是采用cookie和Session ,另一种是采用JWT(token)方法。登陆页面,主页面,用户登陆后可以跳转到主页面,现在还没有进行登录鉴权,所以用户直接访问请求地址也可以跳转到主页面。项目是通过express生成的框架. 项目目录: controll
express 登录鉴权以及接口级别的权限控制
Joey_Tribiani的博客
11-15 473
按照上述的方式,我们就完成了express搭建的后台应用的登录和接口鉴权操作。
nodejs开发——express路由与中间件
10-20
本篇文章将深入探讨Express中的这两个核心概念。 **路由** 路由是Express应用的核心,它决定了当用户通过HTTP请求访问特定URL时,应用如何响应。路由主要处理HTTP请求的路径部分。例如,`...
express中间件当做前端服务器的安全漏洞处理
02-27
express中间件当做前端服务器的安全漏洞处理
express鉴权从入门到入境
星海拾遗
03-24 2010
express鉴权之路token图示一点通(图是我自己画的,虽丑勿怪)express鉴权下载加密/解密包加密基本使用(生成token)传递Token查看token验证token 讲在前面的话:一个成熟的全栈工程师开发的前后端项目鉴权是必不可少的,接下来我们就用一篇文章来介绍一下express鉴权之路。 本文主要目的是介绍鉴权,那么默认读者已经配置完成了express的跨域基本配置以及options请求处理以及post请求参数接收 token图示一点通(图是我自己画的,虽丑勿怪) 看这个示意图就知道校验过程
学习笔记——express框架token鉴权问题
qq_41339126的博客
04-02 2004
本文,express框架使用jsonwebtoken鉴权。 一. jsonwebtoken使用 npm i jsonwebtoken const jwt = require('jsonwebtoken') const singKey = 'mes_qdhd_mobile_xhykjyxgs' // 这里可以自己设置 exports.setToken = (username) => { return new Promise((resolve, reject) => { ..
nodejsexpress框架中如何对用户密码进行加密存储(md5加密存储用户信息)
weixin_45745641的博客
10-24 1195
一开始实现注册功能,可以看到数据库的数据如下:密码是直接显示出来的但实际操作中,我们需要把用户的密码进行加密再存储到数据库中来保证数据的安全性本节就来介绍如何使用md5对用户的密码进行加密存储。
详解nuxt路由鉴权(express模板)
10-17
主要介绍了详解nuxt路由鉴权(express模板),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
express+mongoose数据库入库密码进行加密验证
qq_45458749的博客
07-13 1081
在项目中数据库中的密码必须加密的不可使用明文密码!! 并且必须使用不可逆算法加密!!
express开发服务端------加解密问题
qq_33039355的博客
10-20 316
新建用户接口,加密密码后才存贮到数据库 1.加解密使用的是bcrypt.js 这里我是在我的客户端只提供一个用户名,然后密码是自动分配的,默认是123456 在/serives/user/index.js文件中 const model = require("../../models/user"); const actions = require("../actions"); function create(req, res) { //初始化密码"123456"" actions.create(mo
Express框架开发接口之JWT鉴权机制
m0_52704461的博客
11-01 231
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。⚫ 日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。⚫ 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。2不同开发模式下的身份认证对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案:① 服务端渲染推荐使用 Session 认证机制。
Express-----express-validator数据验证
niulinbiao的博客
08-12 2835
文章预览前言示例1、安装express-validator2、引入3、测试 前言 express-validation是一个中间件,它验证请求的body, params, query, headers 和 cookies ,并且如果任何配置的验证规则失败,返回一个错误的响应 官方文档:https://express-validator.github.io/docs/ 示例 1、安装express-validator npm install express-validator 2、引入 在路由文件中引入
Node.js+Express+Mysql 实现用户密码MD5加密验证
gdgztt的专栏
01-06 689
Node.js+Express+Mysql 实现用户密码MD5加密验证
设置让我们为Express加密
cuk0051的博客
08-25 370
If you run a Node.js application on your own VPS, you’ll need a solution for obtaining SSL certificates. 如果您在自己的VPS上运行Node.js应用程序,则需要一种用于获取SSL证书的解决方案。 Today, the standard for doing this is to use L...
express jwt 鉴权
03-30
Express JWT 鉴权是一种通过 JSON Web Tokens (JWT) 实现的身份验证和授权机制,用于保护 Express 应用程序中的端点或路由。 JWT 是一个安全的标准,用于在客户端和服务器之间传输信息。它由三部分组成:头部、载荷和签名。头部描述了令牌的类型以及所使用的算法,载荷包含了用户信息和其他元数据,签名用于验证令牌的完整性。 在 Express 应用程序中,JWT 鉴权需要使用中间件来验证用户的身份。当用户登录时,服务器会生成一个 JWT,并将其发送回客户端。客户端将 JWT 存储在本地,并在每次请求时将其发送回服务器。服务器使用 JWT 中的信息来验证用户的身份,并根据权限授予或拒绝访问。 要实现 Express JWT 鉴权,可以使用第三方库如 passport-jwtexpress-jwt。这些库提供了简单易用的中间件,可以快速地添加 JWT 鉴权Express 应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值