這次帶給大家怎麼使用node實作基於token身分驗證,使用node實作基於token身分驗證的注意事項有哪些,以下就是實戰案例,一起來看一下。
最近研究了下基於token的身份驗證,並將這種機制整合在個人專案中。現在很多網站的認證方式都從傳統的seesion cookie轉向token校驗。對比傳統的校驗方式,token確實有更好的擴展性與安全性。
傳統的session cookie驗證
#由於HTTP是無狀態的,它並不會記錄使用者的身分。使用者將帳號與密碼傳送給伺服器後,後台通過校驗,但是並沒有記錄狀態,於是下一次使用者的請求仍需要校驗身分。為了解決這個問題,需要在服務端產生一條包含使用者身分的記錄,也就是session,再將這條記錄傳送給使用者並儲存在使用者本地,即cookie。接下來使用者的請求都會帶上這條cookie,若客戶端的cookie與服務端的session能對應上,則表示使用者身分驗證通過。
token身分識別校驗
流程大致如下:
第一次要求時,使用者傳送帳號與密碼
後台校驗通過,則會產生一個有時效性的token,再將此token發送給用戶
用戶獲得token後,將此token儲存在本地,一般儲存在localstorage或cookie
之後的每次請求都會將此token加入在請求頭裡,所有需要校驗身分的介面都會被校驗token,若token解析後的資料包含使用者身份信息,則身份驗證通過。
比較傳統的校驗方式,token校驗有以下優勢:
在基於token的認證,token透過請求頭傳輸,而不是把認證資訊儲存在session或cookie中。這意味著無狀態。你可以從任何一種可以發送HTTP請求的終端向伺服器發送請求。
可以避免CSRF攻擊
當在應用程式中進行session的讀取,寫入或刪除操作時,會有一個檔案操作發生在作業系統的temp 資料夾下,至少在第一次時。假設有多台伺服器並且 session 在第一台服務上建立。當你再次發送請求並且這個請求落在另一台伺服器上,session 資訊並不存在並且會獲得一個「未認證」的回應。我知道,你可以透過一個黏性 session 來解決這個問題。然而,在基於 token 的認證中,這個問題很自然就被解決了。沒有黏性 session 的問題,因為在每個發送到伺服器的請求中這個請求的 token 都會被攔截。
以下介紹利用node jwt(jwt教學)來建構簡易的token身分校驗
範例
當用戶第一次登入時,提交帳號與密碼至伺服器,伺服器校驗通過,則產生對應的token,代碼如下:
const fs = require('fs'); const path = require('path'); const jwt = require('jsonwebtoken'); //生成token的方法 function generateToken(data){ let created = Math.floor(Date.now() / 1000); let cert = fs.readFileSync(path.join(dirname, '../config/pri.pem'));//私钥 let token = jwt.sign({ data, exp: created + 3600 * 24 }, cert, {algorithm: 'RS256'}); return token; } //登录接口 router.post('/oa/login', async (ctx, next) => { let data = ctx.request.body; let {name, password} = data; let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)]; await db.query(sql, value).then(res => { if (res && res.length > 0) { let val = res[0]; let uid = val['uid']; let token = generateToken({uid}); ctx.body = { ...Tips[0], data: {token} } } else { ctx.body = Tips[1006]; } }).catch(e => { ctx.body = Tips[1002]; }); });
使用者透過校驗將取得的token存放在本機:
store.set('loginedtoken',token);//store为插件
之後客戶端請求需要驗證身份的接口,都會將token放在請求頭裡傳遞給服務端:
service.interceptors.request.use(config => { let params = config.params || {}; let loginedtoken = store.get('loginedtoken'); let time = Date.now(); let {headers} = config; headers = {...headers,loginedtoken}; params = {...params,_:time}; config = {...config,params,headers}; return config; }, error => { Promise.reject(error); })
服務端對所有需要登錄的接口均攔截token併校驗合法性。
function verifyToken(token){ let cert = fs.readFileSync(path.join(dirname, '../config/pub.pem'));//公钥 try{ let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {}; let {exp = 0} = result,current = Math.floor(Date.now()/1000); if(current <= exp){ res = result.data || {}; } }catch(e){ } return res; } app.use(async(ctx, next) => { let {url = ''} = ctx; if(url.indexOf('/user/') > -1){//需要校验登录态 let header = ctx.request.header; let {loginedtoken} = header; if (loginedtoken) { let result = verifyToken(loginedtoken); let {uid} = result; if(uid){ ctx.state = {uid}; await next(); }else{ return ctx.body = Tips[1005]; } } else { return ctx.body = Tips[1005]; } }else{ await next(); } });
本範例使用的公鑰與私鑰可自行生成,操作如下:
#開啟命令列工具,輸入openssl,開啟openssl;
#產生私鑰:genrsa -out rsa_private_key.pem 2048
產生公鑰: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
相信看了本文案例你已經掌握了方法,更多精彩請關注php中文網其它相關文章!
推薦閱讀:
#以上是怎麼使用node實作基於token身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!