最近研究了下基于token的身份驗證����,并將這種機制整合在個人項目中?���,F在很多網站的認證方式都從傳統的seesion+cookie轉向token校驗。對比傳統的校驗方式,token確實有更好的擴展性與安全性����。
傳統的session+cookie身份驗證
由于HTTP是無狀態的,它并不記錄用戶的身份����。用戶將賬號與密碼發送給服務器后����,后臺通過校驗����,但是并沒有記錄狀態,于是下一次用戶的請求仍然需要校驗身份����。為了解決這一問題����,需要在服務端生成一條包含用戶身份的記錄,也就是session����,再將這條記錄發送給用戶并存儲在用戶本地����,即cookie����。接下來用戶的請求都會帶上這條cookie,若客戶端的cookie與服務端的session能對應上����,則說明用戶身份驗證通過。
token身份校驗
流程大致如下:
- 第一次請求時����,用戶發送賬號與密碼
- 后臺校驗通過,則會生成一個有時效性的token,再將此token發送給用戶
- 用戶獲得token后����,將此token存儲在本地����,一般存儲在localstorage或cookie
- 之后的每次請求都會將此token添加在請求頭里,所有需要校驗身份的接口都會被校驗token����,若token解析后的數據包含用戶身份信息����,則身份驗證通過����。
對比傳統的校驗方式����,token校驗有如下優勢:
- 在基于token的認證����,token通過請求頭傳輸����,而不是把認證信息存儲在session或者cookie中。這意味著無狀態����。你可以從任意一種可以發送HTTP請求的終端向服務器發送請求。
- 可以避免CSRF攻擊
- 當在應用中進行 session的讀����,寫或者刪除操作時,會有一個文件操作發生在操作系統的temp 文件夾下����,至少在第一次時。假設有多臺服務器并且 session 在第一臺服務上創建����。當你再次發送請求并且這個請求落在另一臺服務器上,session 信息并不存在并且會獲得一個“未認證”的響應����。我知道����,你可以通過一個粘性 session 解決這個問題。然而����,在基于 token 的認證中,這個問題很自然就被解決了����。沒有粘性 session 的問題,因為在每個發送到服務器的請求中這個請求的 token 都會被攔截����。
下面介紹一下利用node+jwt(jwt教程)搭建簡易的token身份校驗
示例
當用戶第一次登錄時,提交賬號與密碼至服務器����,服務器校驗通過,則生成對應的token����,代碼如下:
const fs = require('fs');const path = require('path');const jwt = require('jsonwebtoken');//生成token的方法function generateToken(data){ let created = Math.floor(Date.now() / 1000); let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰 let token = jwt.sign({ data, exp: created + 3600 * 24 }, cert, {algorithm: 'RS256'}); return token;}//登錄接口router.post('/oa/login', async (ctx, next) => { let data = ctx.request.body; let {name, password} = data; let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)]; await db.query(sql, value).then(res => { if (res && res.length > 0) { let val = res[0]; let uid = val['uid']; let token = generateToken({uid}); ctx.body = { ...Tips[0], data: {token} } } else { ctx.body = Tips[1006]; } }).catch(e => { ctx.body = Tips[1002]; });}); 用戶通過校驗將獲取到的token存放在本地:
store.set('loginedtoken',token);//store為插件 之后客戶端請求需要驗證身份的接口����,都會將token放在請求頭里傳遞給服務端:
service.interceptors.request.use(config => { let params = config.params || {}; let loginedtoken = store.get('loginedtoken'); let time = Date.now(); let {headers} = config; headers = {...headers,loginedtoken}; params = {...params,_:time}; config = {...config,params,headers}; return config;}, error => { Promise.reject(error);}) 服務端對所有需要登錄的接口均攔截token并校驗合法性����。
function verifyToken(token){ let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公鑰 try{ let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {}; let {exp = 0} = result,current = Math.floor(Date.now()/1000); if(current <= exp){ res = result.data || {}; } }catch(e){ } return res;}app.use(async(ctx, next) => { let {url = ''} = ctx; if(url.indexOf('/user/') > -1){//需要校驗登錄態 let header = ctx.request.header; let {loginedtoken} = header; if (loginedtoken) { let result = verifyToken(loginedtoken); let {uid} = result; if(uid){ ctx.state = {uid}; await next(); }else{ return ctx.body = Tips[1005]; } } else { return ctx.body = Tips[1005]; } }else{ await next(); }}); 本示例使用的公鑰與私鑰可自己生成����,操作如下:
- 打開命令行工具����,輸入openssl,打開openssl;
- 生成私鑰:genrsa -out rsa_private_key.pem 2048
- 生成公鑰: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
點此查看node后臺代碼
點此查看前端代碼
以上就是本文的全部內容����,希望對大家的學習有所幫助,也希望大家多多支持VeVb武林網����。
注:相關教程知識閱讀請移步到JavaScript/Ajax教程頻道����。
