实现token鉴权:保护你的应用程序和API

最新推荐文章于 2024-04-26 16:47:03 发布
最新推荐文章于 2024-04-26 16:47:03 发布
阅读量590 收藏 7
点赞数 14
文章标签: javascript express
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzx231858/article/details/135033425
版权

实现 Token 鉴权:保护你的应用程序和 API

在当今互联网应用程序中,安全性是至关重要的。为了保护用户数据并确保只有经过授权的用户可以访问敏感信息,开发人员需要实施有效的身份验证和授权机制。Token 鉴权是一种常见的方法,它通过使用令牌来验证用户并授予对受保护资源的访问权限。

什么是 Token 鉴权?

Token 鉴权是一种基于令牌的身份验证方法,通常被用于 Web 应用程序和 API。它基于用户提供的凭证(通常是用户名和密码)生成一个加密的令牌,并将该令牌返回给客户端。客户端在之后的请求中携带这个令牌,服务器则用于验证用户的身份并授权其访问受保护的资源。

实现 Token 鉴权的步骤

1. 用户登录

用户提供凭据(通常是用户名和密码)进行登录。服务器验证凭据,并在验证通过后生成一个唯一的令牌。

//用户登录处理
app.post('/login', (req, res) => {
  // 验证用户提供的凭据
  if (credentialsValid(req.body.username, req.body.password)) {
    // 生成并返回令牌
    const token = generateToken(req.body.username);
    res.json({ token });
  } else {
    res.status(401).json({ error: 'Authentication failed' });
  }
});

2. 令牌生成与签名

服务器使用加密算法(如 HMAC 或 RSA)对用户信息进行签名,创建一个令牌,并将其返回给客户端。这个令牌应该包括必要的信息以及一个签名,以防止伪造或篡改。

//生成令牌(包括有效期)
const jwt = require('jsonwebtoken');
function generateToken(username) {
  const payload = { username, role: 'user' };
  const secretKey = 'your_secret_key'; // 用于签名的密钥
  const token = jwt.sign(payload, secretKey, { expiresIn: '1h' }); // 令牌有效期设置为1小时
  return token;
}

3. 令牌的存储与传递

客户端通常会将令牌存储在本地,例如在浏览器的 localStorage 中。在随后的请求中,客户端会将令牌作为 Authorization 头或其他方式发送给服务器。

//将令牌存储在本地
localStorage.setItem('token', receivedToken);

// 在请求中发送令牌
fetch('/protected/resource', {
  headers: {
    'Authorization': `Bearer ${localStorage.getItem('token')}`
  }
});

4. 服务端验证与授权

每当客户端发送请求时,服务器会验证令牌的有效性和真实性。如果令牌有效且用户被授权,服务器将允许对请求资源的访问。否则,请求将被拒绝。

//服务端验证与授权(包括令牌有效期检查)
app.use((req, res, next) => {
  const token = req.headers.authorization.split(' ')[1]; // 获取请求中的令牌
  jwt.verify(token, 'your_secret_key', (err, decoded) => {
    if (err) {
      return res.status(401).json({ error: 'Unauthorized' });
    }
    // 检查令牌有效期
    if (new Date() > decoded.exp * 1000) {
      return res.status(401).json({ error: 'Token expired' });
    }
    req.decoded = decoded; // 保存解码后的用户信息

以下代码是一个实现 Token 鉴权流程的 Node.js Express 应用程序的详细例子。其中包括了用户登录、令牌生成、服务端验证与授权的中间件以及保护资源的路由示例。

// 导入所需的模块
const express = require('express'); // 引入 Express 框架
const jwt = require('jsonwebtoken'); // 引入 JWT 模块

// 创建 Express 应用程序
const app = express();
app.use(express.json()); // 使用 JSON 解析中间件

// 伪代码 - 用户凭证验证函数
function credentialsValid(username, password) {
  // 进行用户凭证验证的逻辑
  // 返回 true 或 false
}

// 处理用户登录请求
app.post('/login', (req, res) => {
  if (credentialsValid(req.body.username, req.body.password)) {
    const token = generateToken(req.body.username); // 生成令牌
    res.json({ token }); // 返回令牌给客户端
  } else {
    res.status(401).json({ error: 'Authentication failed' }); // 登录失败时返回错误消息
  }
});

// 生成令牌(包括有效期)
function generateToken(username) {
  const payload = { username, role: 'user' }; // 设置载荷信息
  const secretKey = 'your_secret_key'; // 用于签名的密钥
  const token = jwt.sign(payload, secretKey, { expiresIn: '1h' }); // 生成令牌,有效期设置为1小时
  return token; // 返回生成的令牌
}

// 服务端验证与授权(包括令牌有效期检查)中间件
app.use((req, res, next) => {
  const token = req.headers.authorization.split(' ')[1]; // 获取请求中的令牌
  jwt.verify(token, 'your_secret_key', (err, decoded) => {
    if (err) {
      return res.status(401).json({ error: 'Unauthorized' }); // 未授权时返回错误消息
    }
    // 检查令牌有效期
    if (new Date() > decoded.exp * 1000) {
      return res.status(401).json({ error: 'Token expired' }); // 令牌过期时返回错误消息
    }
    req.decoded = decoded; // 保存解码后的用户信息至请求对象
    next(); // 继续处理下一个中间件或路由
  });
});

// 保护资源的路由示例
app.get('/protected/resource', (req, res) => {
  res.json({ message: 'You have accessed the protected resource' }); // 返回受保护资源的信息
});

// 启动服务器并监听指定端口
app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

小旭@
关注
  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
使用Token方式实现用户身份鉴权认证
2301_77645750的博客
09-30 305
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。而且只要token设计的足够复杂,除非用户泄露,否则几乎没有被破解的可能,加上token是有时效的,在有限的时间加上有限的算力,更是无懈可击,这也类似于加密资产比如比特币钱包对应的私钥,安全性极高。另外Token可以有效减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
session和token鉴权方式
weixin_40611700的博客
10-19 1093
1.什么是token接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
简单的Java的token鉴权架构
Demon的博客
07-04 4003
简单的Java的token鉴权架构
Token鉴权机制
kongtiao5的专栏
09-29 1万+
1、用户注册/添加用户,两个参数:userId、password  2、用户登录,登录校验userId和password 是否正确,正确根据userId、password 、时间戳,用MD5不可逆算法生成token。      将userId、token、超时时间存到数据库中,可以存在redis中,并将token返回给客户端。 3、前台在超时时间内再次请求带上userId和token即可进行...
Web API接口鉴权方式
人间世
02-28 4968
介绍web API接口鉴权方式
开发API接口的安全验证:token,参数签名,时间戳
热门推荐
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口的安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
接口测试中的Token鉴权(Postman中Token的获取和引用)
weixin_44901808的博客
08-25 1万+
Token的获取和引用
API签名鉴权设计
后面牵个人的博客
12-26 2670
API鉴权的作用:识别调用方身份,控制API的访问权限,进而保护平台数据的安全。
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
qq_740785701的博客
07-08 4127
接口签名sign规则(重点) 首先,定义appid,appsecret,nonce,timestamp。 然后,获取parmas和Body中的参数,并将两者组合成在一个字典中。 此外,根据字典的key的ASCII码升序排序,把字典格式转换为key=value&key=value形式,生成一个字符串。 在这个字符串前面加上appid和appsecret,后面加上nonce和timestamp。 对该字符串做MD5加密并大写,生成sign,sign保存为全局变量。 最后,把sign放在请求头中发送给服务器做鉴权
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
API接口设计之token、timestamp、sign
06-24
API接口设计之token、timestamp、sign的具体使用demo示例。
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
php实现JWT(json web token)鉴权实例详解
10-16
主要介绍了php实现JWT(json web token)鉴权实例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
选项apiKey必需-一个字符串,用于指定应用程序API密钥。 sharedSecret必需-一个字符串,用于指定应用程序的共享机密。 redirectUri必需-一个字符串,用于指定用户授权应用程序后要将用户重定向到的URL。 scopes可...
dcapp:DC应用程序休息api
07-01
数据中心应用程序接口 使用 Laravel PHP 框架的 DC 移动应用程序 API。在本地设置克隆这个 repo 安装 composer 。 运行“作曲家安装” 编辑 bootstrap/start.php update $env['local'] 并添加你的主机名通过...
vue快速入门(四十六)Router的安装与使用
最新发布
不起眼小菜菜的博客
04-26 618
步骤很详细,直接上教程……
vue2---修饰符
weixin_45503872的博客
04-24 1059
此时有一个问题,如果我们设置了系统修饰符,并不希望有其他的按键组合,比如我们设置ctrl修饰符,此时如果按住ctrl和其他键,然后再点击鼠标,此时也会触发事件监听,所以我需要使用其他的修饰符来设置精确匹配事件。此时People的data返回的是一个对象,不是一个地址,每一个实例拿到的都是个独立,个体的对象,互相不会数据冲突,这个就是vue组件data为什么是函数的原因。data是一个函数,返回的是一个对象,目的是为了让每个组件数据隔离,这个是JavaScript的原理,并不是vue去设计的。
1. token鉴权和session鉴权区别
06-11
Token鉴权和Session鉴权是两种常用的身份验证方式。 Token鉴权是一种轻量级的身份验证方式,通常用于Web API的身份验证,其工作方式为:客户端在登录后,服务器返回一个包含用户身份信息的token。客户端在后续请求中将该token附加在请求头或请求体中,服务器接收到请求后,通过对token的解析验证用户身份。该方式的优点是减轻了服务器的负担,可以跨域使用,但缺点是token一旦泄露,攻击者可以使用该token来模拟合法用户进行操作。 Session鉴权是一种传统的身份验证方式,通常用于Web应用程序的身份验证,其工作方式为:用户在登录后,服务器在后端创建一个session并返回一个sessionid给客户端,客户端在后续请求中将该sessionid附加在请求头或请求体中,服务器通过对sessionid的验证判断用户身份。该方式的优点是安全性较高,用户的状态信息可以保存在session中,但缺点是需要在服务器端存储session信息,会增加服务器的负担,并且无法跨域使用。 因此,Token鉴权和Session鉴权各有优缺点,根据实际应用场景和需求选择适当的身份验证方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值