session-cookie 和token登陆验证
最近研究了下基于token的身份验证,并将这种机制整合在我的项目中。如今不少网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。
传统的session+cookie身份验证
因为HTTP是无状态的,它并不记录用户的身份。用户将帐号与密码发送给服务器后,后台经过校验,可是并无记录状态,因而下一次用户的请求仍然须要校验身份。为了解决这一问题,须要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cookie与服务端的session能对应上,则说明用户身份验证经过。
token身份校验
流程大体以下:
第一次请求时,用户发送帐号与密码
后台校验经过,则会生成一个有时效性的token,再将此token发送给用户
用户得到token后,将此token存储在本地,通常存储在localstorage或cookie
以后的每次请求都会将此token添加在请求头里,全部须要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证经过。
对比传统的校验方式,token校验有以下优点:
在基于token的认证,token经过请求头传输,而不是把认证信息存储在session或者cookie中。这意味着无状态。你能够从任意一种能够发送HTTP请求的终端向服务器发送请求。
能够避免CSRF攻击
当在应用中进行 session的读,写或者删除操做时,会有一个文件操做发生在操做系统的temp 文件夹下,至少在第一次时。假设有多台服务器而且 session 在第一台服务上建立。当你再次发送请求而且这个请求落在另外一台服务器上,session 信息并不存在而且会得到一个“未认证”的响应。我知道,你能够经过一个粘性 session 解决这个问题。然而,在基于 token 的认证中,这个问题很天然就被解决了。没有粘性 session 的问题,由于在每一个发送到服务器的请求中这个请求的 token 都会被拦截。
下面介绍一下利用node+jwt(jwt教程)搭建简易的token身份校验
示例
当用户第一次登陆时,提交帐号与密码至服务器,服务器校验经过,则生成对应的token,代码以下:
const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
let created = Math.floor(Date.now() / 1000);
let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私钥
let token = jwt.sign({
data,
exp: created + 3600 * 24
}, cert, {algorithm: 'RS256'});
return token;
}
//登陆接口
router.post('/oa/login', async (ctx, next) => {
let data = ctx.request.body;
let {name, password} = data;
let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
await db.query(sql, value).then(res => {
if (res && res.length > 0) {
let val = res[0];
let uid = val['uid'];
let token = generateToken({uid});
ctx.body = {
...Tips[0], data: {token}
}
} else {
ctx.body www.michenggw.com/= Tips[1006];
}
}).catch(e =www.yigouyule2.cn> {
ctx.body = www.mhylpt.com/ Tips[1002];
});
});
用户经过校验将获取到的token存放在本地:
?
1
store.set('loginedtoken',token);//store为插件
以后客户端请求须要验证身份的接口,都会将token放在请求头里传递给服务端:node
service.interceptors.request.use(config => {
let params = config.params |www.gcyl158.com| {};
let loginedtoken = store.get('loginedtoken');
let time = Date.now(www.gcyL157.com);
let {headers} = config;
headers = {.www.feifanyule.cn/..headers,loginedtoken};
params = {...params,_:time};
config = {...config,params,headers};
return config;
}, error => {
Promise.reject(error);
})
服务端对全部须要登陆的接口均拦截token并校验合法性。
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
function verifyToken(token){
let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公钥
try{
let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
let {exp = 0} = result,current = Math.floor(Date.now()/1000);
if(current <= exp){
res = result.data || {};
}
}catch(e){
}
return res;
}
app.use(async(ctx, next) => {
let {url = ''} = ctx;
if(url.indexOf('/user/') > -1){//须要校验登陆态
let header = ctx.request.header;
let {loginedtoken} = header;
if (loginedtoken) {
let result = verifyToken(loginedtoken);
let {uid} = result;
if(uid){
ctx.state = {uid};
await next();
}else{
return ctx.body = Tips[1005];
}
} else {
return ctx.body = Tips[1005];
}
}else{
await next();
}
});
本示例使用的公钥与私钥可本身生成,操做以下:
打开命令行工具,输入openssl,打开openssl;
生成私钥:genrsa -out rsa_private_key.pem 2048
生成公钥: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pemweb
- 1. vue+koa2+token 登陆验证
- 2. 登陆权限验证token
- 3. Token登陆认证
- 4. session 、cookie、token session-cookie 和token登陆验证
- 5. vue登陆注册及token验证
- 6. egg-jwt生成token,登陆验证
- 7. app与php后台接口登陆认证、验证(seesion和token)
- 8. iOS登陆界面和登陆验证
- 9. 验证登陆
- 10. 登陆验证
- 更多相关文章...
- • XML 验证 - XML 教程
- • DTD 验证 - DTD 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • 适用于PHP初学者的学习线路和建议
-
每一个你不满意的现在,都有一个你没有努力的曾经。