怎麼使用node實作基於token身份驗證

這次帶給大家怎麼使用node實作基於token身分驗證，使用node實作基於token身分驗證的注意事項有哪些，以下就是實戰案例，一起來看一下。

最近研究了下基於token的身份驗證，並將這種機制整合在個人專案中。現在很多網站的認證方式都從傳統的seesion cookie轉向token校驗。對比傳統的校驗方式，token確實有更好的擴展性與安全性。

傳統的session cookie驗證

#由於HTTP是無狀態的，它並不會記錄使用者的身分。使用者將帳號與密碼傳送給伺服器後，後台通過校驗，但是並沒有記錄狀態，於是下一次使用者的請求仍需要校驗身分。為了解決這個問題，需要在服務端產生一條包含使用者身分的記錄，也就是session，再將這條記錄傳送給使用者並儲存在使用者本地，即cookie。接下來使用者的請求都會帶上這條cookie，若客戶端的cookie與服務端的session能對應上，則表示使用者身分驗證通過。

token身分識別校驗

流程大致如下：

1. 第一次要求時，使用者傳送帳號與密碼

2. 後台校驗通過，則會產生一個有時效性的token,再將此token發送給用戶

3. 用戶獲得token後，將此token儲存在本地，一般儲存在localstorage或cookie

4. 之後的每次請求都會將此token加入在請求頭裡，所有需要校驗身分的介面都會被校驗token，若token解析後的資料包含使用者身份信息，則身份驗證通過。

比較傳統的校驗方式，token校驗有以下優勢：

1. 在基於token的認證，token透過請求頭傳輸，而不是把認證資訊儲存在session或cookie中。這意味著無狀態。你可以從任何一種可以發送HTTP請求的終端向伺服器發送請求。

2. 可以避免CSRF攻擊

3. 當在應用程式中進行session的讀取，寫入或刪除操作時，會有一個檔案操作發生在作業系統的temp 資料夾下，至少在第一次時。假設有多台伺服器並且 session 在第一台服務上建立。當你再次發送請求並且這個請求落在另一台伺服器上，session 資訊並不存在並且會獲得一個「未認證」的回應。我知道，你可以透過一個黏性 session 來解決這個問題。然而，在基於 token 的認證中，這個問題很自然就被解決了。沒有黏性 session 的問題，因為在每個發送到伺服器的請求中這個請求的 token 都會被攔截。

以下介紹利用node jwt(jwt教學)來建構簡易的token身分校驗

範例

當用戶第一次登入時，提交帳號與密碼至伺服器，伺服器校驗通過，則產生對應的token，代碼如下：

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
  let created = Math.floor(Date.now() / 1000);
  let cert = fs.readFileSync(path.join(dirname, '../config/pri.pem'));//私钥
  let token = jwt.sign({
    data,
    exp: created + 3600 * 24
  }, cert, {algorithm: 'RS256'});
  return token;
}
//登录接口
router.post('/oa/login', async (ctx, next) => {
  let data = ctx.request.body；
  let {name, password} = data;
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  await db.query(sql, value).then(res => {
    if (res && res.length > 0) {
      let val = res[0];
      let uid = val['uid'];
      let token = generateToken({uid});
      ctx.body = {
        ...Tips[0], data: {token}
      }
    } else {
      ctx.body = Tips[1006];
    }
  }).catch(e => {
    ctx.body = Tips[1002];
  });
});

使用者透過校驗將取得的token存放在本機：

store.set('loginedtoken',token);//store为插件

之後客戶端請求需要驗證身份的接口，都會將token放在請求頭裡傳遞給服務端：

service.interceptors.request.use(config => {
  let params = config.params || {};
  let loginedtoken = store.get('loginedtoken');
  let time = Date.now();
  let {headers} = config;
  headers = {...headers,loginedtoken};
  params = {...params,_:time};
  config = {...config,params,headers};
  return config;
}, error => {
  Promise.reject(error);
})

服務端對所有需要登錄的接口均攔截token併校驗合法性。

function verifyToken(token){
  let cert = fs.readFileSync(path.join(dirname, '../config/pub.pem'));//公钥
  try{
    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
    let {exp = 0} = result,current = Math.floor(Date.now()/1000);
    if(current <= exp){
      res = result.data || {};
    }
  }catch(e){
  }
  return res;
}
app.use(async(ctx, next) => {
  let {url = ''} = ctx;
  if(url.indexOf('/user/') > -1){//需要校验登录态
    let header = ctx.request.header;
    let {loginedtoken} = header;
    if (loginedtoken) {
      let result = verifyToken(loginedtoken);
      let {uid} = result;
      if(uid){
        ctx.state = {uid};
        await next();
      }else{
        return ctx.body = Tips[1005];
      }
    } else {
      return ctx.body = Tips[1005];
    }
  }else{
    await next();
  }
});

本範例使用的公鑰與私鑰可自行生成，操作如下：

1. #開啟命令列工具，輸入openssl，開啟openssl;

2. #產生私鑰：genrsa -out rsa_private_key.pem 2048

3. 產生公鑰： rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

相信看了本文案例你已經掌握了方法，更多精彩請關注php中文網其它相關文章！

推薦閱讀：

Angular專案中使用scss步驟詳解

怎麼使用vue2.0 koa2 mongodb實作註冊登陸

#

以上是怎麼使用node實作基於token身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章！