【node】---token的原理及使用---【alley】

时间  2019-12-06
标签 node token 原理 使用 alley 繁體版
原文   原文链接

1、登录的验证流程web

  当用户请求登陆的时候,若是没有问题,咱们在服务端生成一条记录,这个记录里能够说明一下登陆的用户是谁,而后把这条记录的 ID 号发送给客户端,客户端收到之后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,能够带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,若是能够,说明用户已经经过了身份验证,就把用户请求的数据返回给客户端算法

 

 

2、基于token的身份验证方法express

 

  一、用户向服务器发送用户名和密码。json

 

    二、服务端收到请求,去验证用户名与密码服务器

 

  三、验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。cookie

 

  四、客户端收到 Token 之后能够把它存储起来,好比放在 Cookie 里或者 Local Storage 里ui

 

  五、用户随后的每一次请求,都会经过 Cookie,将 token 传回服务器。加密

 

  六、服务端收到请求,而后去验证客户端请求里面带着的 Token,若是验证成功,就向客户端返回请求的数据spa

 

3、jsonwebtokencode

   一、jwt的原理

     服务器认证后,生成一个json对象,发送给用户,就向下面这样

 

{
  "姓名": "alley",
  "角色": "管理员",
  "到期时间": "2019年3月9日0点0分"
}

  

  二、jwt的组成部分

   header:头部    payload:负载    secret:签名

   

 

   2-一、header:

   header是一个json对象,主要由2部分组成,一个是token的类型,一个是使用的算法

{
    type:"jwt",
    alg:"HS256"
}

 

  2-二、payload:

   payload也是一个json对象,用来存放实际须要传递的数据,官方规定了7个字段

iss (issuer):签发人 
exp (expiration time):过时时间 
sub (subject):主题 
aud (audience):受众 
nbf (Not Before):生效时间 
iat (Issued At):签发时间 
jti (JWT ID):编号

  

  除了官方定义的7个字段外,你还能够定义其余私有字段

{
   iss:"admin",
   user:'alley', 
}

  注意:JWT默认是不加密的,任何人均可以读到,因此不要把私密信息放入这个部分

 

  2-三、secret:

  secret是一个签名,防止数据篡改。这个签名只有服务器知道,不能泄露给用户。而后使用

  header中的签名算法生成签名。(算法默认是HMAC SHA256)

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

  

  

4、jwt的基本使用(基于express)

const jwt = require("jsonwebtoken");
const secret = "secret";//签名


const getCookie = (key)=>{
    const cookies = req.headers.cookie;
    const arr = cookies.split("; ");
    for(var i=0;i<arr.length;i++){
        let newArr = arr[i].split("=");
        if(newArr[0] == key){
            return newArr[1];
        }
    }
}


//验证token
const verifyTokenMiddle = (req,res,next)=>{
    let token = getCookie("token");
    
    jwt.verify(token, scret, function(err, decoded) {
        if(err){
            return res.json({
                state:false,
                info:"token验证失败"
            })
        }
        next()
  });  
}




//建立token
const createToken = (username)=>{
    const payload = {
        user:username
    }
    
    return jwt.sign(payload, secret,{expiresIn:'1h'});
}


module.exports = {
    createToken,
    verifyTokenMiddle 
}
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程