首页 > 网站 > 建站经验 > 正文

node实现基于token的身份验证

2019-11-02 14:09:58
字体:
来源:转载
供稿:网友

最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。

传统的session+cookie身份验证

由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求仍然需要校验身份。为了解决这一问题,需要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cookie与服务端的session能对应上,则说明用户身份验证通过。

token身份校验

流程大致如下:

第一次请求时,用户发送账号与密码 后台校验通过,则会生成一个有时效性的token,再将此token发送给用户 用户获得token后,将此token存储在本地,一般存储在localstorage或cookie 之后的每次请求都会将此token添加在请求头里,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过。

对比传统的校验方式,token校验有如下优势:

在基于token的认证,token通过请求头传输,而不是把认证信息存储在session或者cookie中。这意味着无状态。你可以从任意一种可以发送HTTP请求的终端向服务器发送请求。 可以避免CSRF攻击 当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“未认证”的响应。我知道,你可以通过一个粘性 session 解决这个问题。然而,在基于 token 的认证中,这个问题很自然就被解决了。没有粘性 session 的问题,因为在每个发送到服务器的请求中这个请求的 token 都会被拦截。

下面介绍一下利用node+jwt(jwt教程)搭建简易的token身份校验

示例

当用户第一次登录时,提交账号与密码至服务器,服务器校验通过,则生成对应的token,代码如下:

const fs = require('fs');const path = require('path');const jwt = require('jsonwebtoken');//生成token的方法function generateToken(data){  let created = Math.floor(Date.now() / 1000);  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私钥  let token = jwt.sign({    data,    exp: created + 3600 * 24  }, cert, {algorithm: 'RS256'});  return token;}//登录接口router.post('/oa/login', async (ctx, next) => {  let data = ctx.request.body;  let {name, password} = data;  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];  await db.query(sql, value).then(res => {    if (res && res.length > 0) {      let val = res[0];      let uid = val['uid'];      let token = generateToken({uid});      ctx.body = {        ...Tips[0], data: {token}      }    } else {      ctx.body = Tips[1006];    }  }).catch(e => {    ctx.body = Tips[1002];  });});

用户通过校验将获取到的token存放在本地:

store.set('loginedtoken',token);//store为插件

之后客户端请求需要验证身份的接口,都会将token放在请求头里传递给服务端:

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表