现在比较流行的验证方式,是带着token的登录验证

原理

1. 登陆时,客户端发送用户名密码

2. 服务端验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端

3. 客户端储存token,一般都会存储在localStorage或者cookie里面(vue可以存储与vuex)

4. 客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token

5. 服务端验证token,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过,返回数据

完整例子

下面来看一个比较完整的例子,有问题可以和我交流哦,我也挺菜的:

第一步,客户端发送用户名和密码; (一般是post过去)

第二步,验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端

        if (data.toString() === req.body.pass){

            // 登陆成功,添加token验证

            let sid = req.body.pass + req.body.seccode; //密码 和 验证码组成其sid

            let jwt = new JwtUtil(sid); //将用户sid传入,生成token

            let token = jwt.generateToken();

            res.send({status:200,msg:'登陆成功',token:token});

        }else{

            res.send({status:404,msg:'口令错误'})

        }

第三步,客户端储存token,一般都会存储在localStorage或者cookie里面(这里我存储在vuex里面,进行统一管理)

第四步,客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token

                  //使用vuex对全局token进行状态管理

                  this.$store.dispatch("set_token",res.data.token);

                  //设置:全局带token

                  this.$http.defaults.headers.common['token'] = this.$store.state.token;

store 里index.js:

import Vue from 'vue'

import Vuex from 'vuex'

//使用vuex

Vue.use(Vuex);

//一个store  , Vuex.store的 实例

const store = new Vuex.Store({

    state: {

        token : ''

    },

    getters:{            //  Getter相当于vue中的computed计算属性

        getToken: (state) => {return state.token;}

    },

    mutations: {

        set_token(state,ltoken) {   //第一个参数是拿到state对象

            localStorage.setItem('token',ltoken);

            state.token = ltoken;

        },

        del_token(state) {

            localStorage.removeItem('token');

            state.token = '';

        }

    },

    actions: {      //注册actions,类似vue里面的methods

        //通过这个修改state里面的值

        // 可以直接用mutations修改,但是官方建议使用actions去调用mutations去修改

        set_token(context,token) {

            context.commit("set_token",token);

        },

        del_token(context){

            context.commit("del_token");

        }

    }

})

export default

最后一步,服务端验证token,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过,返回数据

(这里,除了一些特定接口,不拦截之外,把拦截的 都需要进行验证)

(我这里是: /api/fr/articles 前台获取文章列表的接口不需要拦截; /api/imgCode 生成二维码的接口不需要拦截 /api/lone 登录发token的接口不需要拦截)

其他都需要拦截。

app.use(function (req, res, next){

    //一共三个接口不需要拦截:

    //  /imgCode   /lone /api/fr/articles

    if (req.url != '/api/fr/articles' && req.url != '/api/imgCode' && req.url != '/api/lone') {

        let token = req.headers.token;

        let jwt = new JwtUtil(token);

        let result = jwt.verifyToken();

        console.log('result是:',result);

        // 如果考验通过就next,否则就返回登陆信息不正确

        if (result == 'err') {

            console.log(result);

            res.send({status: 403, msg: '登录已过期,请重新登录',res: result});

            // res.render('login.html');

        } else {

            next();

        }

    } else {

        next();

    }

});

其中:jwt.js怎么写呢?参考于这篇文章: nodejs 基于token的身份验证

// 引入模块依赖

const fs = require('fs');

const path = require('path');

const jwt = require('jsonwebtoken');

// 创建 token 类

class Jwt {

    constructor(data) {

        this.data = data;

    }

    //生成token

    generateToken() {

        let data = this.data;

        let created = Math.floor(Date.now() / 1000);

        let cert = fs.readFileSync(path.join(__dirname, '../server/pem/rsa_private_key.pem'));//私钥 可以自己生成

        let token = jwt.sign({

            data,

            exp: created + 60 * 30,

        }, cert, {algorithm: 'RS256'});

        return token;

    }

    // 校验token

    verifyToken() {

        let token = this.data;

        let cert = fs.readFileSync(path.join(__dirname, '../server/pem/rsa_public_key.pem'));//公钥 可以自己生成

        let res;

        try {

            let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};

            let {exp = 0} = result, current = Math.floor(Date.now() / 1000);

            if (current <= exp) {

                res = result.data || {};

            }

        } catch (e) {

            res = 'err';

        }

        return res;

    }

}

module.exports = Jwt;

公私密钥对,一般可以选择openssl进行生成.

vue & nodejs jwt 的基于token身份验证的更多相关文章

  1. ASP.NET Core Web API + Angular 仿B站(三)后台配置 JWT 的基于 token 的验证

    前言: 本系列文章主要为对所学 Angular 框架的一次微小的实践,对 b站页面作简单的模仿. 本系列文章主要参考资料: 微软文档: https://docs.microsoft.com/zh-cn ...

  2. 基于JWT的Token身份验证

    ​ 身份验证,是指通过一定的手段,完成对用户身份的确认.为了及时的识别发送请求的用户身份,我们调研了常见的几种认证方式,cookie.session和token. 1.Cookie ​ cookie是 ...

  3. 在 Linux 客户端配置基于 Kerberos 身份验证的 NFS 服务器

    在这篇文章中我们会介绍配置基于 Kerberos 身份验证的 NFS 共享的整个流程.假设你已经配置好了一个 NFS 服务器和一个客户端.如果还没有,可以参考 安装和配置 NFS 服务器[2] - 它 ...

  4. 基于JWT的web api身份验证及跨域调用实践

    随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的 ...

  5. 基于token的验证

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  6. ArcGIS Server 基于Token安全验证

    写在前面:只使用token并不能起到安全验证的作用,ArcGIS Server文件夹的权限是开放的,我们不需要登录Server平台即可访问服务,所以我们应该将Token验证和文件夹的安全性结合起来使用 ...

  7. 基于 Token 的身份验证:JSON Web Token(附:Node.js 项目)

    最近了解下基于 Token 的身份验证,跟大伙分享下.很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强, ...

  8. AngularJS身份验证:Cookies VS Tokens

    基于cookie的身份验证:Cookie-Based Authentication 基于token的身份验证:Token-Based Authentication 跨域:cross-domain 说明 ...

  9. asp.net core 3.x 身份验证-1涉及到的概念

    前言 从本篇开始将围绕asp.net core身份验证写个小系列,希望你看完本系列后,脑子里对asp.net core的身份验证原理有个大致印象.至于身份验证是啥?与授权有啥联系?就不介绍了,太啰嗦. ...

随机推荐

  1. linux工作调度(计划任务)

    linux工作调度有两种:at,cron · at:at是一个可以处理仅执行一次就结束调度的命令.说白了就是在某个时间需要干某一件事,例如在2018年10月12日下午一点要执行一个数据库矫正脚本. · ...

  2. 常见HTTP请求头和响应头

    2. 常用的HTTP请求头 协议头 说明 示例 状态 Accept 可接受的响应内容类型(Content-Types). Accept: text/plain 固定 Accept-Charset 可接 ...

  3. saltstack 自动化运维

    salt介绍 saltstack是由thomas Hatch于2011年创建的一个开源项目,设计初衷是为了实现一个快速的远程执行系统. salt强大吗 系统管理员日常会进行大量的重复性操作,例如安装软 ...

  4. 【浅析】|白话布隆过滤器BloomFilter

    通过本文将了解到以下内容: 查找问题的一般思路 布隆过滤器的基本原理 布隆过滤器的典型应用 布隆过滤器的工程实现 场景说明: 本文阐述的场景均为普通单机服务器.并非分布式大数据平台,因为在大数据平台下 ...

  5. IEnumerable和IEnumerator详解

    引言 IEnumerable是可枚举的所有非泛型集合的基接口, IEnumerable包含一个方法GetEnumerator(),该方法返回一个IEnumerator:IEnumerator提供通过C ...

  6. 在 Kubernetes 集群快速部署 KubeSphere 容器平台

    KubeSphere 不仅支持部署在 Linux 之上,还支持在已有 Kubernetes 集群之上部署 KubeSphere,自动纳管 Kubernetes 集群的已有资源与容器. 前提条件 Kub ...

  7. IDEA必备插件系列 - Key Promoter X(快捷键使用提示)

    Key Promoter X 是用于基于 IntelliJ 产品(如 IDEA,Android Studio 或 CLion)的插件,它有助于在工作时从鼠标操作中 学习基本的键盘快捷键. 当您在 ID ...

  8. Java中我常用到的十二个最基本的快捷键

    自己在Java中经常用到的快捷键先记下来方便日后学习之用: 1. Ctrl+shift+r:打开资源 这可能是所有快捷键组合中最省时间的了.这组快捷键可以让你打开你的工作区中任何一个文件,而你只需要按 ...

  9. centos 7 MysSQL 5.6.39 二进制安装

    MySQL 5.6.39 二进制安装 CentOS 7 将默认数据库MySQL替换成了Mariadb. 这里会从系统的环境准备开始一步一步安装. 环境准备 系统版本 内核版本 IP地址 Centos ...

  10. window.open()打开新窗口 及参数

    在jsp页面中需要使用到弹出窗口,想到js的window对象有一个open方法可以弹出窗口,于是对open方法进行记录. 首先是open方法的语法及定义: 定义: open() 方法用于打开一个新的浏 ...