node如何實現(xiàn)基于token的身份驗證-創(chuàng)新互聯(lián)

小編給大家分享一下node如何實現(xiàn)基于token的身份驗證，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創(chuàng)新互聯(lián)從2013年成立，先為瓊山等服務建站，瓊山等地企業(yè)，進行企業(yè)商務咨詢服務。為瓊山企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

最近研究了下基于token的身份驗證，并將這種機制整合在個人項目中。現(xiàn)在很多網(wǎng)站的認證方式都從傳統(tǒng)的seesion+cookie轉向token校驗。對比傳統(tǒng)的校驗方式，token確實有更好的擴展性與安全性。

傳統(tǒng)的session+cookie身份驗證

由于HTTP是無狀態(tài)的，它并不記錄用戶的身份。用戶將賬號與密碼發(fā)送給服務器后，后臺通過校驗，但是并沒有記錄狀態(tài)，于是下一次用戶的請求仍然需要校驗身份。為了解決這一問題，需要在服務端生成一條包含用戶身份的記錄，也就是session，再將這條記錄發(fā)送給用戶并存儲在用戶本地，即cookie。接下來用戶的請求都會帶上這條cookie，若客戶端的cookie與服務端的session能對應上，則說明用戶身份驗證通過。

token身份校驗

流程大致如下：

1. 第一次請求時，用戶發(fā)送賬號與密碼

2. 后臺校驗通過，則會生成一個有時效性的token,再將此token發(fā)送給用戶

3. 用戶獲得token后，將此token存儲在本地，一般存儲在localstorage或cookie

4. 之后的每次請求都會將此token添加在請求頭里，所有需要校驗身份的接口都會被校驗token，若token解析后的數(shù)據(jù)包含用戶身份信息，則身份驗證通過。

對比傳統(tǒng)的校驗方式，token校驗有如下優(yōu)勢：

1. 在基于token的認證，token通過請求頭傳輸，而不是把認證信息存儲在session或者cookie中。這意味著無狀態(tài)。你可以從任意一種可以發(fā)送HTTP請求的終端向服務器發(fā)送請求。

2. 可以避免CSRF攻擊

3. 當在應用中進行 session的讀，寫或者刪除操作時，會有一個文件操作發(fā)生在操作系統(tǒng)的temp 文件夾下，至少在第一次時。假設有多臺服務器并且 session 在第一臺服務上創(chuàng)建。當你再次發(fā)送請求并且這個請求落在另一臺服務器上，session 信息并不存在并且會獲得一個“未認證”的響應。我知道，你可以通過一個粘性 session 解決這個問題。然而，在基于 token 的認證中，這個問題很自然就被解決了。沒有粘性 session 的問題，因為在每個發(fā)送到服務器的請求中這個請求的 token 都會被攔截。

下面介紹一下利用node+jwt(jwt教程)搭建簡易的token身份校驗

示例

當用戶第一次登錄時，提交賬號與密碼至服務器，服務器校驗通過，則生成對應的token，代碼如下：

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
  let created = Math.floor(Date.now() / 1000);
  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰
  let token = jwt.sign({
    data,
    exp: created + 3600 * 24
  }, cert, {algorithm: 'RS256'});
  return token;
}

//登錄接口
router.post('/oa/login', async (ctx, next) => {
  let data = ctx.request.body；
  let {name, password} = data;
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  await db.query(sql, value).then(res => {
    if (res && res.length > 0) {
      let val = res[0];
      let uid = val['uid'];
      let token = generateToken({uid});
      ctx.body = {
        ...Tips[0], data: {token}
      }
    } else {
      ctx.body = Tips[1006];
    }
  }).catch(e => {
    ctx.body = Tips[1002];
  });

});

用戶通過校驗將獲取到的token存放在本地：

store.set('loginedtoken',token);//store為插件

之后客戶端請求需要驗證身份的接口，都會將token放在請求頭里傳遞給服務端：

service.interceptors.request.use(config => {
  let params = config.params || {};
  let loginedtoken = store.get('loginedtoken');
  let time = Date.now();
  let {headers} = config;
  headers = {...headers,loginedtoken};
  params = {...params,_:time};
  config = {...config,params,headers};
  return config;
}, error => {
  Promise.reject(error);
})

服務端對所有需要登錄的接口均攔截token并校驗合法性。

function verifyToken(token){
  let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公鑰
  try{
    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
    let {exp = 0} = result,current = Math.floor(Date.now()/1000);
    if(current <= exp){
      res = result.data || {};
    }
  }catch(e){

  }
  return res;

}

app.use(async(ctx, next) => {
  let {url = ''} = ctx;
  if(url.indexOf('/user/') > -1){//需要校驗登錄態(tài)
    let header = ctx.request.header;
    let {loginedtoken} = header;
    if (loginedtoken) {
      let result = verifyToken(loginedtoken);
      let {uid} = result;
      if(uid){
        ctx.state = {uid};
        await next();
      }else{
        return ctx.body = Tips[1005];
      }
    } else {
      return ctx.body = Tips[1005];
    }
  }else{
    await next();
  }
});

本示例使用的公鑰與私鑰可自己生成，操作如下：

1. 打開命令行工具，輸入openssl，打開openssl;

2. 生成私鑰：genrsa -out rsa_private_key.pem 2048

3. 生成公鑰： rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

以上是“node如何實現(xiàn)基于token的身份驗證”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學習更多知識，歡迎關注創(chuàng)新互聯(lián)成都網(wǎng)站設計公司行業(yè)資訊頻道！

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

新聞標題：node如何實現(xiàn)基于token的身份驗證-創(chuàng)新互聯(lián)
文章來源：http://muchs.cn/article10/higdo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、品牌網(wǎng)站制作、商城網(wǎng)站、自適應網(wǎng)站、App設計、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)