[小黄书后台]redis和鉴权

最新推荐文章于 2023-05-25 15:05:10 发布
最新推荐文章于 2023-05-25 15:05:10 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 全栈开发实战 全栈开发实战之Nodejs后端 全栈开发实战之redis 文章标签: nodejs angularjs 小程序 mongodb redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhubaitian/article/details/93349568
版权

上一章我们通过引入mongodb实现了基本的用户管理,已经实现了异常处理的基本框架。今天我们会开始实现小红书后台的鉴权功能。

鉴权的主要目的就是为了:

让授权的用户访问相应的api资源,而禁止没有授权的用户去访问不属于它的资源。

现在比较流行的方案就是基于Token的鉴权方式, 请看知乎上的描述:
https://zhuanlan.zhihu.com/p/19920223?columnSlug=FrontendMagazine

基本的流程如下:

  • 客户端用户通过提供用户名和密码进行登录

  • 服务器端接收到用户名密码,生成一个唯一的Access Token令牌,代表这个用户的访问权限,并在本地存储起来(我们这里会用redis来存储到内存中,因为redis给我们提供了很好的令牌过期管理功能)

  • 服务器将该令牌返回给客户端

  • 客户端接收到令牌,并将其存储起来

  • 客户端通过在http请求头的Authentication字段中提供令牌来访问服务器的资源

  • 服务器收到请求后解析出http请求头的令牌,跟之前缓存起来的令牌进行对比,一致则允许访问相应的资源,否则返回授权失败

下面我们就开始进行实现。

1. REDIS客户端实现

首先,安装好Redis, 安装方法略…

其次,如果大家不是很熟悉Redis的话,请到官网进行学习:
https://github.com/NodeRedis/node_redis
上面有很多很好的实例,包含如何对redis进行异步调用。

跟上一章创建mongodb的客户端实例一样,我们这里需要创建Redis的实例来进行对Redis的访问。在libs目录下创建redisdb.js文件,实现代码如下:

const bluebird = require('bluebird');
const redis = bluebird.promisifyAll(require('redis'));
const log = require('./logger');

log.info('Initialize Redis Database ...');

const redisClient = redis.createClient('6379', '127.0.0.1');

module.exports = redisClient;

主旨就是:

  • 通过bluebird来promise化redis的api调用,这样我们就能通过入setAsync的方式和结合es7的await/async来更简单的对redis进行操作

  • 连上Redis服务器

  • 将已经连接上Redis服务器的Redis客户端的实例export出去给其他模块使用

2. uuid和访问令牌

我们的访问令牌必须是唯一的,可以自己实现也可以使用第三方库。我们这里会用到uuid这个库:
https://github.com/kelektiv/node-uuid

2.1 登录时生成令牌并保存到redis

我们需要改造上一章实现的/auth/login路由:

  • 首先,依然是检查用户名密码是否正确,不正确的话直接异常返回,否则往下走

  • 然后,通过uuid库的接口创建一个唯一的uuid来代表我们的访问令牌

  • 将该令牌保存到redis数据库中:其中令牌作为键,用户信息作为值。这样我们今后在需要的时候就能通过令牌来找到对应的用户信息。

  • 设置令牌在redis中的过期时间。设置后,redis会自动帮我们做令牌的过期管理,一旦过期了,令牌就会被自动从redis中删除掉。比如我们这里设置令牌一小时后失效。

  • 将访问令牌返回给客户端

代码实现如下:

router.post('/login', async (req, res, next) => {
  try {
    const {name, password} = req.body;

    const user = await User.findOne({name});

    if (!user.authenticate(password)) {
      throw new ClientError.InvalidLoginError();
    } else {
      const accessToken = generateAccessToken();
      await redis.setAsync(accessToken, JSON.stringify(user));
      await redis.expireAsync(accessToken, 3600);
      res.send({"access_token": accessToken});
    }

  } catch (e) {
    log.error('Exception:',e);
    next(e);
  }
});

2.2. 登出时删除redis中用户对应的令牌

如前面所述,用户登录之后,访问需要权限的资源的话,需要在http请求头的Authentication中设置上刚刚登录返回来的访问令牌。

登出时就需要携带这个令牌,所以我们在服务器端可以通过解析请求头来获得。

在获得访问令牌之后,我们这里就简单的将其从redis服务器中删除掉就好了。

router.post('/logout', async (req, res, next) => {
  try {
    const accessToken = req.headers.authorization;
    await redis.delAsync(accessToken);
    res.status(204).end();
  } catch (e) {
    next(e);
  }
});

3. 鉴权

如上所述,鉴权的目的就是让有权限的用户访问对应的资源,没有权限的用户不能访问超出其权限的资源。

我们服务器端各个api就是用户需要访问的资源,所以鉴权必须要在路由到各个api之前做。所以最好的方法就是在server.js文件中,在通过bodyparser进行请求数据解析之后,而在分派路由之前,来提供一个中间件来实现:

app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
bodyParserXML(bodyParser);
app.use(bodyParser.xml());

// 在这里实现鉴权中间件
app.use(async (req, res, next) => {
    ...
});

fs.readdir(`${__dirname}/routes/`, (err,files) => {
    for(const file of files) {
        const path = '/v1/' + file.split(".")[0];
        log.info('Attached  router:',path);
        app.use(path,require(`${__dirname}/routes/${file}`))
    }
})

由于我们当前只有一个Admin用户,也就是说我们只有两种用户:

  • 提供了访问令牌的用户

  • 没有提供访问令牌的用户

首先,我们需要获得用户传过来的http请求头中的访问令牌:

const accessToken = req.headers.authorization;

对于提供了访问令牌的用户,我们需要:

  • 检查其访问令牌的有效性
  • 更新访问令牌的过期时间,这样的话就不至于让我们的客户端在一直访问的过程中,到了令牌过期的时间后就需要重新登录。
  • 鉴权通过后通过调用next来进入到对应的路由中间件进行请求处理
  • 鉴权没有通过的话,抛出异常,然后通过next(e)来让系统默认错误处理中间件来进行处理

实现如下:

// APIS need authentication
      if (accessToken) {
        const user = await redis.getAsync(accessToken);
        if (!user) {
          throw new ClientError.InvalidTokenError();
        } else {
          req.user = JSON.parse(user);
          await redis.expireAsync(accessToken, 3600);
          next();
        }
      } else {
        throw new ClientError.InvalidTokenError();
      }

对于没有提供访问令牌的请求:

  • 检查访问的是哪些API
  • 对于不需要授权的api,调用next,让对应的路由中间件进行请求处理

代码实现如下:

      // APIS need no authentication
      if (req.path === '/'
          || req.path === '/v1/auth/login') {

        log.debug('no auth required');
        next();

        return;
      }

完整的鉴权中间件代码如下:

const authMidware = async (req, res, next) => {
    try {
      const accessToken = req.headers.authorization;
      log.debug('accessToken:', accessToken)

      // APIS need no authentication
      if (req.path === '/'
          || req.path === '/v1/auth/login') {

        log.debug('no auth required');
        next();

        return;
      }

      // APIS need authentication
      if (accessToken) {
        const user = await redis.getAsync(accessToken);
        if (!user) {
          throw new ClientError.InvalidTokenError();
        } else {
          req.user = JSON.parse(user);
          await redis.expireAsync(accessToken, 3600);
          next();
        }
      } else {
        throw new ClientError.InvalidTokenError();
      }
    } catch (e) {
      log.debug('error while auth', e);
      next(e);
    }
};

4. 结语

重构后和完整的代码请从github中获取。

  • git clone https://github.com/zhubaitian/XiaoHuangShuServer.git
  • cd XiaoHuangShuServer/
  • git checkout CH05
  • npm install
  • gulp dev

这一系列文章其实我写了有段时间了,后来忙起来忘了发布了😓。

最后想推下我最近发布的一个小程序:三日清单,希望朋友们能多支持。.

天地会珠海分舵
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于Python Django及Redis的微信小程序后台接口源码
03-25
项目简介:本项目采用Python语言开发,基于Django框架和Redis数据库,构建了一套微信小程序后台接口。该源码包含共计5723个文件,其中主要文件类型包括: - Python源文件(.py):1528个,为主要业务逻辑实现; -...
Redis基础(七)—— 缓存穿透、击穿、雪崩
baidu_39560928的博客
08-11 469
Redis 缓存的使用,极大的提升了应用程序的性能和效率,特别是数据查询方面。但同时,它也带来了一些问题。其中,最要害的问题,就是数据的一致性问题,从严格意义上讲,这个问题无解。如果对数据的一致性要求很高,那么不能使用缓存。 我们只能采取合适的策略来降低缓存和数据库间数据不一致的概率,而无法保证两者间的强一致性。合适的策略包括 合适的缓存更新策略,更新数据库后要及时更新缓存、缓存失败时增加重试机制,例如MQ模式的消息队列。 典型问题:缓存穿透、缓存雪崩、缓存击穿 缓存穿透 用户大量并发请求的数据(ke.
spring boot+redis进行接口鉴权
qq_45936359的博客
05-25 300
大致设计:一个用户登录,先把他所有权限信息查出来放进redis,自定义注解、要进行权限控制的接口打上自己的权限注解,如果redis找得到权限信息就放行,找不到则返回无权限状态码:503。公司老项目,之前是用前端进行资源鉴权,存在很大的风险和问题,最近安全漏洞检测告警好多次,准备对后端接口进行鉴权,于是进行改造。2、自定义权限注解,方便对需要进行权限判断的接口打上标记。5、修改权限过后清除redis缓存,解决缓存不一致问题。7、在数据库添加用户信息和接口权限即可。6、对需要鉴权的接口加上注解。
[小黄书小程序]导航栏和标题栏界面
热门推荐
天地会珠海分舵
02-17 10万+
我们前面几章已经将小黄书后台基础框架给搭建好了。后台的小黄书相关的业务逻辑,会在往后根据客户端的业务需求来进行实现。 今天起我们会开始小黄书小程序的实现。 我们先看下小红书应用的主界面。 这一篇文章中我们主要是要搞定以下界面的UI呈现: 将最下面的导航栏的界面呈现 最上面的标题栏的界面呈现 这里我们假设您已经做好以下准备,如果没有的话,请自行百度: 已经安装微信web开发者工具: 我们可...
Redis常见异常汇总
Huangjiazhen711的博客
10-20 1万+
在阿里云文档中看到一篇Redis错误排查的内容,作者整理的比较详细,感觉很有参考意义,摘录下来,方便个人后续参考使用…Jedis虽然使用起来比较简单,但是不能根据使用场景设置合理的参数(例如连接池参数),或者不合理地使用了一些功能(例如Lua和事务)时,也会产生很多问题,本文对这些常见问题进行逐一说明。
Springboot使用JWT+Redis实现一个简单的登录鉴权
rgrhiea的博客
08-07 5490
这是一个JWT+Redis实现登录鉴权的简单demo,通过它包括了springboot、jwt和RedisTemplate的简单使用
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
Java后台开发 Redis使用指南.pdf
03-13
适用于Java后台开发Redis使用者,包括Redis的安装与配置、Redis的持久化方案、Redis集群的搭建和在Java中Jedis的运用
redis后台启动redis后台启动
01-18
redis后台启动。 redis后台启动。 redis后台启动命令加对应redis.vbe。修改路径然后直接点击就可以了。
Redis-环形和哨兵模式集群案例
04-17
也是由马大哥整理,简单易懂,内附操作步骤,包含两大集群模式:Sentinel模式和Cluster模式
redis 常用命令
寻梦的博客
11-23 358
redis 常用命令 登录 查询 删除 版本
[小黄书后台]mongodb和用户管理
天地会珠海分舵
02-17 1337
上一章我们介绍了如何通过nodemon,bunyan 以及最新的nodejs调试方式来让我们更高效的进行代码调试。 本章我们会引入数据库的使用,毕竟,我们小黄书的很多数据是需要存储在数据库中的。 1. Mongodb 这里我们假设大家对Mongodb已经有基本的了解,所以不会去详细介绍安装和基本使用之类的东西,更多的是关注到我们小黄书相关的实现上面来。 我自己安装的mongodb采取的基本都是默...
YouDontKnowJS 小黄书学习小结(闭包与this)
weixin_33961829的博客
10-17 412
真正的理解闭包的原理与使用 更加透彻this绑定的四种规则机制 你不知道的JavaScript 人称小黄书,第一次看到这本书名 就想到了一句话 “You know nothing! Jon snow”(你懂得), 翻阅后感觉到很惊艳,分析的很透彻,学习起来也很快,Have fun! 块级作用域 if语句 for语句 with with(obj) { a = 1; b...
openresty 网关rsa+aes+redis鉴权解密
胡汉三
07-11 1984
之前使用了openresty进行了rsa跟aes的加解密测试。现在我们整合一下、使用openresty连接redis鉴权、解密。之前提到过,我们不使用cookie而是使用token来认证用户信息。而且token是我们自己加密的、加密的规则就是使用aes进行加密。我们再来缕一缕整个流程。客户端(浏览器)流程: 第一步:先获取token(临时token),返回的token是aes加密的,这里的密钥我们就使用固定的aes密钥就好了。token里面包含userId跟tokenId,我们使用token
[小黄书小程序]微信授权登录
天地会珠海分舵
02-17 5973
在上一篇文章中,我们在后台实现了会员管理以及会员注册登录的逻辑。其中登录方式包括: 通过手机号码和验证码登录 通过微信授权登录 在小黄书小程序上,我们支持第二种登录方式。第一种方式,今后看情况再酌情进行支持。 我们这一章节要做的事情就是在小程序客户端支持上微信授权登录,我们的目标是: 在小黄书小程序打开时,通过微信授权进行登录。 登录成功后,将访问令牌存放到小程序提供的本地缓存中。 1. ...
[小黄书小程序]主页面搜索栏和flex布局
天地会珠海分舵
02-17 2811
上一章我们实现了小程序的导航栏和标题栏的呈现,今天我们会开始小黄书主页面的相关界面。 因为本人对css不是很熟悉,所以涉及到的知识点都会写得比较细,对于熟悉的朋友来说,也许会觉得比较冗余。所以大家酌情观看。 1. 搜索栏 经过上一章的实战,我们这个时候在pages/home页面已经生成了相应的几个文件: home.js home.json home.wxml home.wxss 我们将会在h...
[小黄书后台]文件上传到服务器
天地会珠海分舵
02-17 3485
上一篇文章我们实现了小黄书后台框架中的鉴权服务。今天我们会开始实现文件上传的服务,因为我们参考的小红书中有很多地方是需要上传图片的,比如商品的图片等。 1. Express Multer中间件 Express框架下进行文件上传的一个很好用的中间件就是Multer: https://github.com/expressjs/multer 它提供的Readme有很好的例子指导我们如何使用该中间件来进...
好书推荐:《对比Excel,轻松学习Python数据分析》
罗罗攀
02-21 2万+
之前就一直有打算出一个结合Excel的Python数据分析的教程,刚好张俊红同学就出了书籍,后面写相关文章又多了一本好书。我首先说说我的看法,为什么要和Excel做结合了...
[小黄书后台]会员管理及微信授权登录
天地会珠海分舵
02-17 1万+
通过前几章小程序的UI实践,我们小黄书的Home页面已经有一个基本的呈现。但是,所有的数据还都只是mock模拟的数据,还没有任何跟小黄书服务器进行交互的动作。 今天开始,我们会逐步增加小程序和服务器的交互。首先,我们会从后台对客户端会员登录的支持开始。 参考小红书应用,它大体支持以下几种会员的登录方式: 通过手机号和验证码进行登录 通过手机号和密码进行登录,其中密码是在后期绑定进去,而不是注册时...
.net6 redis鉴权token
最新发布
12-28
.NET 6作为Microsoft的最新版本的开发框架,提供了丰富的功能和工具来简化开发过程。在.NET 6中,使用Redis进行鉴权和管理token是一个常见的需求。Redis作为一个内存数据库,提供了高效的数据存储和快速的访问,非常适合用来存储和管理token。 在.NET 6中,我们可以使用StackExchange.Redis这个开源库来连接和操作Redis数据库。首先,我们需要在.NET 6的项目中引入StackExchange.Redis的NuGet包,并配置连接到Redis数据库的相关信息,例如服务器地址、端口号和密码等。通过这些配置,我们就可以在.NET 6中建立和管理与Redis的连接。 接着,我们可以使用StackExchange.Redis提供的API来操作Redis数据库,实现token的存储、更新和删除等功能。通过使用合适的数据结构和命令,我们可以在Redis数据库中存储和管理用户的token信息,同时可以设置token的过期时间和权限策略来保障系统的安全性。 除了基本的token管理功能,我们还可以利用Redis的发布订阅功能来实现实时的token验证和更新。通过发布订阅机制,我们可以在用户登录或注销时及时更新Redis中的token信息,保证用户的访问权限和安全性。 总之,通过在.NET 6中集成Redis数据库,并使用StackExchange.Redis库来实现token的鉴权和管理,我们可以简化开发工作,提高系统的性能和安全性,为用户提供更好的使用体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值