nodejs的基本使用(四)身份认证Session,JWT

最新推荐文章于 2023-09-20 17:52:43 发布
最新推荐文章于 2023-09-20 17:52:43 发布
阅读量1.8k 收藏
点赞数 2
分类专栏: nodejs 文章标签: 前端 javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52907628/article/details/123441909
版权

web开发模式

目前有两个主流:

  1. 服务端渲染
  2. 前后端分离

服务端渲染:服务器发给客户端html页面,在服务器端通过拼接,动态生成。所以客户端不需要使用ajax技术。

优点:前端耗时少,有利于seo

缺点:占用服务器资源,不利于前后分离,开发效率低

前后端分离:依赖于ajax

优点:开发体验好,用户体验好,减轻了服务端的渲染压力。

缺点:不利于网站的seo

身份认证

服务端渲染使用session认证机制

前后分离使用JWT认证机制

Session认证机制

http协议无状态性:就是发送多次请求,服务器不会保留上一次的状态。

现实生活中会员卡身份认证,在web中叫做Cookie,Cookie是存放浏览器的字符串,由名称,值等组成 用于控制Cookie有效期,安全性,使用范围的可选属性组成。session认证不适合跨域认证。

下面使用Session认证:

# 安装
yarn add express-session

// app.js

const express = require('express')
const cors = require('cors')
// 导入session
const session = require('express-session')
// 创建app
const app = express()

// 注册中间件
app.use(express.static('./pages'))
app.use(cors())
app.use(express.json())
app.use(express.urlencoded({ extended: false }))
// 使用session 固定写法
app.use(
  session({
    secret: 'zxc', // 任意字符 密钥
    resave: false,
    saveUninitialized: true
  })
)

// 登录
app.post('/api/login', (req, res) => {
  if (req.body.username !== 'admin' || req.body.password !== '000') {
    return res.send({ status: 1, msg: '登陆失败' })
  }
  // 登陆成功后的用户信息 保存到session中
  req.session.user = req.body //用户信息
  req.session.islogin = true //登陆状态
  res.send({
    statu: 0,
    msg:'登陆成功'
  })
})

// 获取session中的数据
app.get('/api/username', (req, res) => {
  if (!req.session.islogin) {
    return res.send({ status: 1, meg: 'fail' })
  }
  res.send({ status: 0, data: req.session.username })
})

// 退出登录清空session
app.post('/api/logout', (req, res) => {
  req.session.destroy() //只会清空当前用户的session
  res.send({ status: 0, msg: '退出成功' })
})

app.listen(80, () => {
  console.log('http://127.0.0.1')
})

JWT认证机制

jwt工作原理:客户端提交账户密码发送给服务端,服务端验证账号密码通过后会返回给客户端一个token字符串,客户端拿到之后进行本地存储。等再一次登陆时,直接使用本地存储的token字符串进行登录就实现了免密登录。

jwt字符串由 header payload signature组成,payload部分才是真正的用户信息,其他两部分只为了保证token的安全性。

下面是jwt的使用方式:

拿到token后,每次请求服务器都在请求头带上token字段,推荐做法:

// 设置请求头 Authorization字段
Authorization: Bearer <token>

安装

yarn add jsonwebtoken express-jwt

jsonwebtoken:可以生产token字段

express-jwt:用于将jwt字符串解析还原成json对象,当我们配置了之后,那么req.user就是存储的是当前解析token中的数据,就可以使用req.user获取。

// app.js
const express = require('express')
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')
const bodyParser = require('body-parser')
// 创建app
const app = express()
// 注册中间件
app.use(bodyParser.urlencoded({ extended: false }))
const secretKey = 'test-01' //定义secretKey密钥
// 解析token 需要secretKey密钥,algorithms为['HS256'] unless中的path可以指定不需要token验证的接口
app.use(
  // 配置了express-jwt中间件 就可以把解析出来的用户信息挂载到 req.user上
  expressJWT({ secret: secretKey, algorithms: ['HS256'] }).unless({
    path: [/\/api\/login/]
  })
)

// 登录接口
app.post('/api/login', (req, res) => {
  const { username, password } = req.body
  if (username !== 'admin' || password !== '000') {
    return res.send({ status: 1, msg: '登陆失败' })
  }
  // jwt.sign() 生成token
  // 参数一:用户信息对象
  // 参数二:加密的密钥
  // 参数三:配置对象,可以配置token有效期
  // 千万不要把密码加密到字符串中,否则就危险了
  const token = jwt.sign({ username }, secretKey, {
    expiresIn: '30s'
  })
  res.send({
    status: 200,
    msg: '登陆成功',
    token
  })
})
// expressJWT 解析token字符串并获取
app.get('/api/getinfo', (req, res) => {
  console.log(req.user)
  res.send({
    status: 200,
    msg: '获取用户信息成功',
    data: req.user
  })
})

// 捕获token验证错误中间件
app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    return res.send({
      status: 401,
      msg: '无效的token'
    })
  }
  res.send({
    status:500,
    msg:'未知的错误'
  })
})

app.listen(80, () => {
  console.log('http://127.0.0.1')
})
一盒十三香
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node.js搭建接口(十一):Node-获取和存入当前登录用户的个人信息
前端啥也不懂
08-30 4214
上一节我们搭建了一个稍微复杂的数据库模型profiles,里面描述了用户的工作技能、工作经历、教育经历等,此节搭建接口来获取当前登录用户的这些个人信息。 创建一个profile.js在api文件夹里面,因为很多内容与user都是相似的,这里就不重复说明了。 需要注意的几点是: 1.profile是关联着user的,需要根据user的id来查找profile Profile.findOne...
Nodejs中的JWTSession使用
10-18
主要介绍了Nodejs中的JWTSession使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nodejs express中使用token验证机制
small_white_123的博客
11-21 2528
token身份认证基本概念了解Session认证的局限性什么是tokenjwt的原理jwt的组成JWT的三个部分各自代表的含义jwt使用方式在express中使用jwt定义secret密钥在登录成功后生成 JWT 字符串解析 JWT字符串 还原为JSON对象使用req.user 获取用户信息错误中间件前端如何使用token 基本概念 了解Session认证的局限性 Session 认证机制需要配合Cookie才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做
Node jwt认证 req.user为undefind
djweijfhweoi的博客
11-14 873
解决Node.js jwt认证 req.user为空的问题
node.js学习笔记 16session简介
qq_33363757的博客
11-18 166
students.js代码。
nodejs取参四种方法req.body,req.params,req.param,req.body
weixin_33985507的博客
11-25 405
2019独角兽企业重金招聘Python工程师标准>>> ...
API_Secure:Web服务-nodeJS-JWT-Redis
05-12
配置文件:./env npm install npm start 本地主机:8080 / signup curl --location --request POST ' localhost:8080/signup ' \ --header ' Content-Type: application/json ' \ --data-raw ' { ...
node-admin-backend:node全栈,后端通用模板,用到的技术栈 nodejs、express、mysql、redis、jwtsession、crypto-js
05-23
一个nodejs、express、mysql、redis、jwtsession、crypto-js写的后台模板,提供初学者学习,详细的模块划分 src/ authentication 鉴权模块操作 common 公共资源模块操作处理 connect 数据库链接模块 public 静态...
jwt简单的介绍和了解
10-27
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是...
JWT中验证成功后获取用户数据的req.user问题
conquer_galaxy的博客
03-17 1035
JWT中验证成功后获取用户数据的req.user问题
express-jwt配置完后,req会多一个user属性,即req.user
最新发布
m0_74693275的博客
09-20 218
使用 express-jwt 中间件进行身份验证后, express-jwt 中间件会自动将经过验证的用户信息添加到 req.user 中。如果验证成功, req.user 会被自动设置为包含经过验证的用户信息的对象。需要注意的是,在使用 express-jwt 中间件之前,需要确保已经在请求中包含了有效的 JWT。当进行请求到达 /protected 路由时,如果请求的 JWT 通过了验证, req.user 将包含验证的用户信息。// 访问 req.user 获取验证过的用户信息。
前后端的身份认证②(JWT认证机制)
十八岁讨厌编程的博客
04-23 3010
文章目录JWT 认证机制Session 认证的局限性什么是JWTJWT 的组成部分JWT使用方式在 Express 中使用 JWT安装 JWT 相关的包定义 secret 密钥在登录成功后生成 JWT 字符串JWT与token的关系将 JWT 字符串还原为 JSON 对象使用 req.user 获取用户信息捕获解析 JWT 失败后产生的错误整体代码实现 JWT 认证机制 Session 认证的局限性 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,
Nodejs -- 前后端身份认证概念及在Express中使用认证Session,Cookie,JWT
Qlz的博客
11-29 799
4 在Express项目中使用Session认证 4.1 安装express-session中间件 4.2 配置express-session中间件 4.3 向Session中存数据 4.4 从Session中取数据 4.5 清空Session 5 JWT认证机制 5.1 了解Session认证的局限性 5.2 什么是JWT 5.3 JWT的组成部分 5.4 JWT的三个部分各自代表的含义 5.5 JWT使用方式 6 在Express中使用JWT 6.1 安装JWT相关的包 6.2 导入JWT相关的包
十四、Node.js 中 session验证登录
灵魂学者的博客
01-05 2012
cookie是存储在客户端的,而session是存储在服务器的,相比较session的安全性会更高,session对象存储特定用户会话所需要的属性以及配置信息,服务通过session对象将用户的信息临时保存在服务器中,客户无法进行修改,反观cookie是存储在客户端,用户可以进行伪造修改,所以使用session是比cookie更安全!
Node.js简单使用session,帮助理解实现原理
Dreamy_LIN的博客
06-01 2060
Cookie可以实现浏览器和服务器状态的记录,但Cookie会出现存储提及过大和可以在前后端修改的问题。 为了解决Cookie的数据敏感问题,Session应运而生。常见的实现方式是基于Cookie。只将口令放置Cookie,通过口令实现前后端数据的映射,大部分数据存储于服务器的session中。并设置有效期,一般20分钟。超时则重新生成。 var http = require('http'); //全局sessions存放所有的session var sessions = {}; var key = '
nodejssession使用
xie_bro的博客
10-21 1302
nodejssession使用: 适用架构:前后端不分离项目
在Express中使用JWT
m0_63400611的博客
04-19 5438
安装JWT相关的包 运行如下命令,安装如下两个JWT相关的包: npm install jsonwebtoken express-jwt 其中: jsonwebtoken 用于生成JWT字符串 express-jwt 用于将JWT字符串解析还原成JSON对象 导入JWT相关的包 使用 require() 函数,分别导入JWT相关的两个包: //导入用于生成JWT字符串的包 const jwt = require('jsonwebtoken'); //导入用于将客户端发送过来的JWT字符
nodejs -- express 之 req(响应)官方API 翻译
热门推荐
鲜衣怒马徒惹名就,功成薄幸老当砺马
04-07 1万+
【 翻译不易,谢谢批评指正 】 请求 该req对象表示的HTTP请求,并且具有用于请求查询字符串,参数,身体,HTTP报头,等等性质。在本文档按照惯例,该对象总是被称为req(和HTTP响应res),但它的实际名称是由参数到您正在使用的回调函数来确定。 例如: app.get('/user/:id', function(req, res){ res.send('user ' + req
node.js 获取req 参数的三种方式
yalishandalee的专栏
11-06 2508
express获取参数有三种方法:官网介绍如下 Checks route params (req.params), ex: /user/:idChecks query string params (req.query), ex: ?id=12Checks urlencoded body params (req.body), ex: id= 1、例如:127.0.0.1:3000/i
我的后端使用nodejs如何实现用户认证身份验证
07-14
在 Node.js 中实现用户认证身份验证,可以使用以下步骤来完成: 1. 创建一个后端服务:使用 Node.js 创建一个服务器端应用程序,你可以选择使用 Express、Koa 或者其他适合你的框架来构建。 2. 设置用户数据存储:选择一个数据库系统(如 MongoDB、MySQL、PostgreSQL 等)来存储用户数据。创建一个用户模型,包含用户名、密码等字段,并将用户数据存储在数据库中。 3. 注册新用户:实现用户注册逻辑。当用户注册时,你需要验证用户名是否已存在,并对密码进行加密保存。 4. 用户登录验证:实现用户登录逻辑。当用户登录时,你需要验证用户提供的用户名和密码是否与数据库中的匹配。可以使用加密算法对密码进行比较,比如使用 bcrypt 或者 argon2 进行密码哈希和验证。 5. 生成认证令牌:在用户登录成功后,你可以使用 JSON Web Token(JWT)来生成一个认证令牌。将令牌发送给客户端,并在客户端进行存储(例如在浏览器的本地存储或者 Cookie 中)。 6. 路由保护:在需要进行身份验证的路由上添加中间件来保护这些路由。当客户端发送请求时,验证客户端请求中的令牌是否有效。你可以使用 JWT 库来解析和验证令牌的有效性,确保它没有被篡改。 7. 登出功能:提供登出功能,当用户登出时,删除客户端存储的令牌,并在服务器端使令牌失效。 需要注意的是,用户认证身份验证的实现可能会涉及到安全性问题,比如密码加密、防止跨站点请求伪造(CSRF)、限制登录尝试次数等。你应该仔细考虑这些问题,并采取适当的安全措施来保护用户数据和系统安全。 同时,建议使用成熟的身份验证库或框架,如 Passport.js、jsonwebtoken 等,来简化开发过程并提供更好的安全性保障。这些库已经提供了许多常见的身份验证和认证功能,可以帮助你更轻松地实现用户认证身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值