现在比较流行的验证方式,是带着token的登录验证

原理

1. 登陆时,客户端发送用户名密码

2. 服务端验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端

3. 客户端储存token,一般都会存储在localStorage或者cookie里面(vue可以存储与vuex)

4. 客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token

5. 服务端验证token,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过,返回数据

完整例子

下面来看一个比较完整的例子,有问题可以和我交流哦,我也挺菜的:

第一步,客户端发送用户名和密码; (一般是post过去)

第二步,验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端

        if (data.toString() === req.body.pass){

            // 登陆成功,添加token验证

            let sid = req.body.pass + req.body.seccode; //密码 和 验证码组成其sid

            let jwt = new JwtUtil(sid); //将用户sid传入,生成token

            let token = jwt.generateToken();

            res.send({status:200,msg:'登陆成功',token:token});

        }else{

            res.send({status:404,msg:'口令错误'})

        }

第三步,客户端储存token,一般都会存储在localStorage或者cookie里面(这里我存储在vuex里面,进行统一管理)

第四步,客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token

                  //使用vuex对全局token进行状态管理

                  this.$store.dispatch("set_token",res.data.token);

                  //设置:全局带token

                  this.$http.defaults.headers.common['token'] = this.$store.state.token;

store 里index.js:

import Vue from 'vue'

import Vuex from 'vuex'

//使用vuex

Vue.use(Vuex);

//一个store  , Vuex.store的 实例

const store = new Vuex.Store({

    state: {

        token : ''

    },

    getters:{            //  Getter相当于vue中的computed计算属性

        getToken: (state) => {return state.token;}

    },

    mutations: {

        set_token(state,ltoken) {   //第一个参数是拿到state对象

            localStorage.setItem('token',ltoken);

            state.token = ltoken;

        },

        del_token(state) {

            localStorage.removeItem('token');

            state.token = '';

        }

    },

    actions: {      //注册actions,类似vue里面的methods

        //通过这个修改state里面的值

        // 可以直接用mutations修改,但是官方建议使用actions去调用mutations去修改

        set_token(context,token) {

            context.commit("set_token",token);

        },

        del_token(context){

            context.commit("del_token");

        }

    }

})

export default

最后一步,服务端验证token,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过,返回数据

(这里,除了一些特定接口,不拦截之外,把拦截的 都需要进行验证)

(我这里是: /api/fr/articles 前台获取文章列表的接口不需要拦截; /api/imgCode 生成二维码的接口不需要拦截 /api/lone 登录发token的接口不需要拦截)

其他都需要拦截。

app.use(function (req, res, next){

    //一共三个接口不需要拦截:

    //  /imgCode   /lone /api/fr/articles

    if (req.url != '/api/fr/articles' && req.url != '/api/imgCode' && req.url != '/api/lone') {

        let token = req.headers.token;

        let jwt = new JwtUtil(token);

        let result = jwt.verifyToken();

        console.log('result是:',result);

        // 如果考验通过就next,否则就返回登陆信息不正确

        if (result == 'err') {

            console.log(result);

            res.send({status: 403, msg: '登录已过期,请重新登录',res: result});

            // res.render('login.html');

        } else {

            next();

        }

    } else {

        next();

    }

});

其中:jwt.js怎么写呢?参考于这篇文章: nodejs 基于token的身份验证

// 引入模块依赖

const fs = require('fs');

const path = require('path');

const jwt = require('jsonwebtoken');

// 创建 token 类

class Jwt {

    constructor(data) {

        this.data = data;

    }

    //生成token

    generateToken() {

        let data = this.data;

        let created = Math.floor(Date.now() / 1000);

        let cert = fs.readFileSync(path.join(__dirname, '../server/pem/rsa_private_key.pem'));//私钥 可以自己生成

        let token = jwt.sign({

            data,

            exp: created + 60 * 30,

        }, cert, {algorithm: 'RS256'});

        return token;

    }

    // 校验token

    verifyToken() {

        let token = this.data;

        let cert = fs.readFileSync(path.join(__dirname, '../server/pem/rsa_public_key.pem'));//公钥 可以自己生成

        let res;

        try {

            let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};

            let {exp = 0} = result, current = Math.floor(Date.now() / 1000);

            if (current <= exp) {

                res = result.data || {};

            }

        } catch (e) {

            res = 'err';

        }

        return res;

    }

}

module.exports = Jwt;

公私密钥对,一般可以选择openssl进行生成.

vue & nodejs jwt 的基于token身份验证的更多相关文章

  1. ASP.NET Core Web API + Angular 仿B站(三)后台配置 JWT 的基于 token 的验证

    前言: 本系列文章主要为对所学 Angular 框架的一次微小的实践,对 b站页面作简单的模仿. 本系列文章主要参考资料: 微软文档: https://docs.microsoft.com/zh-cn ...

  2. 基于JWT的Token身份验证

    ​ 身份验证,是指通过一定的手段,完成对用户身份的确认.为了及时的识别发送请求的用户身份,我们调研了常见的几种认证方式,cookie.session和token. 1.Cookie ​ cookie是 ...

  3. 在 Linux 客户端配置基于 Kerberos 身份验证的 NFS 服务器

    在这篇文章中我们会介绍配置基于 Kerberos 身份验证的 NFS 共享的整个流程.假设你已经配置好了一个 NFS 服务器和一个客户端.如果还没有,可以参考 安装和配置 NFS 服务器[2] - 它 ...

  4. 基于JWT的web api身份验证及跨域调用实践

    随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的 ...

  5. 基于token的验证

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  6. ArcGIS Server 基于Token安全验证

    写在前面:只使用token并不能起到安全验证的作用,ArcGIS Server文件夹的权限是开放的,我们不需要登录Server平台即可访问服务,所以我们应该将Token验证和文件夹的安全性结合起来使用 ...

  7. 基于 Token 的身份验证:JSON Web Token(附:Node.js 项目)

    最近了解下基于 Token 的身份验证,跟大伙分享下.很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强, ...

  8. AngularJS身份验证:Cookies VS Tokens

    基于cookie的身份验证:Cookie-Based Authentication 基于token的身份验证:Token-Based Authentication 跨域:cross-domain 说明 ...

  9. asp.net core 3.x 身份验证-1涉及到的概念

    前言 从本篇开始将围绕asp.net core身份验证写个小系列,希望你看完本系列后,脑子里对asp.net core的身份验证原理有个大致印象.至于身份验证是啥?与授权有啥联系?就不介绍了,太啰嗦. ...

随机推荐

  1. 《手把手教你》系列练习篇之3-python+ selenium自动化测试(详细教程)

    1.  简介 前面介绍了,XPath, id , class , link text, partial link text, tag name, name 七大元素定位方法,本文介绍webdriver ...

  2. Mac OS 终端利器 iTerm2(怕以后找不到,自存自用)

    之前一直使用 Mac OS 自带的终端,用起来虽然有些不太方便,但总体来说还是可以接受的,是有想换个终端的想法,然后今天偶然看到一个终端利器 iTerm2,发现真的很强大,也非常的好用,按照网上配置了 ...

  3. supersocket/SocketEngin/BootstrapFactory.cs 详解

    using System; using System.Collections.Generic; using System.Linq; using System.Text; using SuperSoc ...

  4. 进入编辑模式、vim命令模式、vim实践

    第4周第5次课(4月13日) 课程内容:5.5 进入编辑模式5.6 vim命令模式5.7 vim实践 5.5 进入编辑模式 所谓编辑模式就是进入到一个可以编辑文本文档的模式,常规的方式就是按小i进入编 ...

  5. DNS服务反向解析实验

    DNS域名解析服务是用于解析域名与ip地址对应关系的服务,功能上可以实现正向解析和反向解析 正向解析:根据主机名(域名)查找对应的IP地址. 反向解析:根据IP地址查找对应的主机名(域名). 下面我来 ...

  6. Java泛型之上、下界通配符的理解(适合初学)

    泛型的由来 为什么需要泛型   Java的数据类型一般都是在定义时就需要确定,这种强制的好处就是类型安全,不会出现像弄一个ClassCastException的数据给jvm,数据安全那么执行的clas ...

  7. Java学习笔记(面向对象上)

    面向对象(上) 面向对象的特点:封装性(是面向对象的核心思想,将对象的属性和行为封装起来).继承性(主要描述类与类之间的关系,通过继承,可以在无需重新编写原有类的情况下,对原有类的功能进行扩展)和多态 ...

  8. 开发者如何学好 MongoDB

    作为一名研发,数据库是或多或少都会接触到的技术. MongoDB 是当前火热的 NoSQL 之一,我们怎样才能学好 MongoDB 呢?本篇文章,我们将从以下几方面讨论这个话题: MongoDB 是什 ...

  9. 脚本shell每小时递增运行task

    下面 hello 是开始时间, world 是结束时间 #!/bin/bash START=$(date +%s); hello="20160911 00" world=" ...

  10. Internet History,Technology,and Security - The Web Makes it Easy to Use(Week3)

    时间如白驹过隙,又到了新的一周的慕课学习啦.这周内容较为简单,主要讲述互联网内部的发展状况. The Early World-Wide-Web Getting to the Web 谈到万维网,我们不 ...