现在比较流行的验证方式,是带着token的登录验证

原理

1. 登陆时,客户端发送用户名密码

2. 服务端验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端

3. 客户端储存token,一般都会存储在localStorage或者cookie里面(vue可以存储与vuex)

4. 客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token

5. 服务端验证token,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过,返回数据

完整例子

下面来看一个比较完整的例子,有问题可以和我交流哦,我也挺菜的:

第一步,客户端发送用户名和密码; (一般是post过去)

第二步,验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端

        if (data.toString() === req.body.pass){

            // 登陆成功,添加token验证

            let sid = req.body.pass + req.body.seccode; //密码 和 验证码组成其sid

            let jwt = new JwtUtil(sid); //将用户sid传入,生成token

            let token = jwt.generateToken();

            res.send({status:200,msg:'登陆成功',token:token});

        }else{

            res.send({status:404,msg:'口令错误'})

        }

第三步,客户端储存token,一般都会存储在localStorage或者cookie里面(这里我存储在vuex里面,进行统一管理)

第四步,客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token

                  //使用vuex对全局token进行状态管理

                  this.$store.dispatch("set_token",res.data.token);

                  //设置:全局带token

                  this.$http.defaults.headers.common['token'] = this.$store.state.token;

store 里index.js:

import Vue from 'vue'

import Vuex from 'vuex'

//使用vuex

Vue.use(Vuex);

//一个store  , Vuex.store的 实例

const store = new Vuex.Store({

    state: {

        token : ''

    },

    getters:{            //  Getter相当于vue中的computed计算属性

        getToken: (state) => {return state.token;}

    },

    mutations: {

        set_token(state,ltoken) {   //第一个参数是拿到state对象

            localStorage.setItem('token',ltoken);

            state.token = ltoken;

        },

        del_token(state) {

            localStorage.removeItem('token');

            state.token = '';

        }

    },

    actions: {      //注册actions,类似vue里面的methods

        //通过这个修改state里面的值

        // 可以直接用mutations修改,但是官方建议使用actions去调用mutations去修改

        set_token(context,token) {

            context.commit("set_token",token);

        },

        del_token(context){

            context.commit("del_token");

        }

    }

})

export default

最后一步,服务端验证token,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过,返回数据

(这里,除了一些特定接口,不拦截之外,把拦截的 都需要进行验证)

(我这里是: /api/fr/articles 前台获取文章列表的接口不需要拦截; /api/imgCode 生成二维码的接口不需要拦截 /api/lone 登录发token的接口不需要拦截)

其他都需要拦截。

app.use(function (req, res, next){

    //一共三个接口不需要拦截:

    //  /imgCode   /lone /api/fr/articles

    if (req.url != '/api/fr/articles' && req.url != '/api/imgCode' && req.url != '/api/lone') {

        let token = req.headers.token;

        let jwt = new JwtUtil(token);

        let result = jwt.verifyToken();

        console.log('result是:',result);

        // 如果考验通过就next,否则就返回登陆信息不正确

        if (result == 'err') {

            console.log(result);

            res.send({status: 403, msg: '登录已过期,请重新登录',res: result});

            // res.render('login.html');

        } else {

            next();

        }

    } else {

        next();

    }

});

其中:jwt.js怎么写呢?参考于这篇文章: nodejs 基于token的身份验证

// 引入模块依赖

const fs = require('fs');

const path = require('path');

const jwt = require('jsonwebtoken');

// 创建 token 类

class Jwt {

    constructor(data) {

        this.data = data;

    }

    //生成token

    generateToken() {

        let data = this.data;

        let created = Math.floor(Date.now() / 1000);

        let cert = fs.readFileSync(path.join(__dirname, '../server/pem/rsa_private_key.pem'));//私钥 可以自己生成

        let token = jwt.sign({

            data,

            exp: created + 60 * 30,

        }, cert, {algorithm: 'RS256'});

        return token;

    }

    // 校验token

    verifyToken() {

        let token = this.data;

        let cert = fs.readFileSync(path.join(__dirname, '../server/pem/rsa_public_key.pem'));//公钥 可以自己生成

        let res;

        try {

            let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};

            let {exp = 0} = result, current = Math.floor(Date.now() / 1000);

            if (current <= exp) {

                res = result.data || {};

            }

        } catch (e) {

            res = 'err';

        }

        return res;

    }

}

module.exports = Jwt;

公私密钥对,一般可以选择openssl进行生成.

vue & nodejs jwt 的基于token身份验证的更多相关文章

  1. ASP.NET Core Web API + Angular 仿B站(三)后台配置 JWT 的基于 token 的验证

    前言: 本系列文章主要为对所学 Angular 框架的一次微小的实践,对 b站页面作简单的模仿. 本系列文章主要参考资料: 微软文档: https://docs.microsoft.com/zh-cn ...

  2. 基于JWT的Token身份验证

    ​ 身份验证,是指通过一定的手段,完成对用户身份的确认.为了及时的识别发送请求的用户身份,我们调研了常见的几种认证方式,cookie.session和token. 1.Cookie ​ cookie是 ...

  3. 在 Linux 客户端配置基于 Kerberos 身份验证的 NFS 服务器

    在这篇文章中我们会介绍配置基于 Kerberos 身份验证的 NFS 共享的整个流程.假设你已经配置好了一个 NFS 服务器和一个客户端.如果还没有,可以参考 安装和配置 NFS 服务器[2] - 它 ...

  4. 基于JWT的web api身份验证及跨域调用实践

    随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的 ...

  5. 基于token的验证

    认证.权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制.然后 权限 和 限制 组件决定是否拒绝这个请求. 简单来说就是: 认证确定了你是谁 权限确定你能不 ...

  6. ArcGIS Server 基于Token安全验证

    写在前面:只使用token并不能起到安全验证的作用,ArcGIS Server文件夹的权限是开放的,我们不需要登录Server平台即可访问服务,所以我们应该将Token验证和文件夹的安全性结合起来使用 ...

  7. 基于 Token 的身份验证:JSON Web Token(附:Node.js 项目)

    最近了解下基于 Token 的身份验证,跟大伙分享下.很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强, ...

  8. AngularJS身份验证:Cookies VS Tokens

    基于cookie的身份验证:Cookie-Based Authentication 基于token的身份验证:Token-Based Authentication 跨域:cross-domain 说明 ...

  9. asp.net core 3.x 身份验证-1涉及到的概念

    前言 从本篇开始将围绕asp.net core身份验证写个小系列,希望你看完本系列后,脑子里对asp.net core的身份验证原理有个大致印象.至于身份验证是啥?与授权有啥联系?就不介绍了,太啰嗦. ...

随机推荐

  1. Java入门系列之集合HashMap源码分析(十四)

    前言 我们知道在Java 8中对于HashMap引入了红黑树从而提高操作性能,由于在上一节我们已经通过图解方式分析了红黑树原理,所以在接下来我们将更多精力投入到解析原理而不是算法本身,HashMap在 ...

  2. es6 map的用法

    let arr =[ {title:'aaaa',read:100,hot:true}, {title:'bbbb',read:50,hot:false}, {title:'ccc',read:100 ...

  3. 【github repo自荐】码农周刊一周精选分类

    以下内容节选自我的github码农周刊整理repo,欢迎大家star. 写在最前面的话 作为最初的一批码农周刊的订阅者,不能说经历了其成长,但是确实见证了他的壮大.码农周刊确实从开始第一期的基本上都是 ...

  4. 使用IDEA2017.3.5搭建SSM框架

    转载自博客园,附上原文地址https://www.cnblogs.com/hackyo/p/6646051.html?utm_source=itdadao&utm_medium=referra ...

  5. 2019-2020-1 20199304《Linux内核原理与分析》第一周作业

    通过对Linux基础课程的学习,我对Linux的背景以及和Windows的区别有了了解, Linux 平台:大都为开源自由软件,用户可以修改定制和再发布,由于基本免费没有资金支持,部分软件质量和体验欠 ...

  6. 使用Python为中秋节绘制一块美味的月饼【华为云技术分享】

    每逢佳节… 对于在外的游子,每逢佳节倍思亲.而对于996ICU的苦逼程序猿们,最期待的莫过于各种节假日能把自己丢在床上好好休息一下了.这几天各公司都陆续开始发中秋礼品了.朋友圈各种秀高颜值的月饼,所以 ...

  7. 漫谈LiteOS之开发板-GPIO(基于GD32450i-EVAL)

    [摘要] 本文主要从GPIO的定义.工作模式.特色.工作场合.以及GD32450i-EVAL开发板的引脚.对应的寄存器以及GPIO的流水灯示例对GPIO加以介绍,希望对你有所帮助. 1定义 GPIO( ...

  8. Spring源码学习笔记之bean标签属性介绍及作用

    传统的Spring项目, xml 配置bean在代码中是经常遇到, 那么在配置bean的时候,这些属性的作用是什么呢? 虽然说现在boot项目兴起,基于xml配置的少了很多, 但是如果能够了解这些标签 ...

  9. [TimLinux] myblog 数据表格显示

    1. 设计 2. 数据 创建数据库用户: CREATE USER IF NOT EXISTS 'user1'@'MyBlogPwd123'; GRANT ALL ON d1.* TO 'user1'@ ...

  10. [Python Basics]下划线变量

    夜暗归云绕柁牙,江涵星影鹭眠沙. 行人怅望苏台柳,曾与吴王扫落花. 我平时很常见到的带有下划线的python变量有两种: 前后双下划线,我之前的理解是python程序中的类似meta data的信息, ...