最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。
  
  传统的session+cookie身份验证
  
  由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求仍然需要校验身份。为了解决这一问题,需要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cookie与服务端的session能对应上,则说明用户身份验证通过。
  
  token身份校验
  
  流程大致如下:
  
  第一次请求时,用户发送账号与密码
  
  后台校验通过,则会生成一个有时效性的token,再将此token发送给用户
  
  用户获得token后,将此token存储在本地,一般存储在localstorage或cookie
  
  之后的每次请求都会将此token添加在请求头里,所有需要校验身份的接口都会被校验token,若token解析后的数据包含用户身份信息,则身份验证通过。
  
  对比传统的校验方式,token校验有如下优势:
  
  在基于token的认证,token通过请求头传输,而不是把认证信息存储在session或者cookie中。这意味着无状态。你可以从任意一种可以发送HTTP请求的终端向服务器发送请求。
  
  可以避免CSRF攻击
  
  当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“未认证”的响应。我知道,你可以通过一个粘性 session 解决这个问题。然而,在基于 token 的认证中,这个问题很自然就被解决了。没有粘性 session 的问题,因为在每个发送到服务器的请求中这个请求的 token 都会被拦截。
  
  下面介绍一下利用node+jwt(jwt教程)搭建简易的token身份校验
  
  示例
  
  当用户第一次登录时,提交账号与密码至服务器,服务器校验通过,则生成对应的token,代码如下:
  
  const fs = require('fs');
  
  const path = require('path');
  
  const jwt = require('jsonwebtoken');
  
  //生成token的方法
  
  function generateToken(data){
  
  let created = Math.floor(Date.now() / 1000);
  
  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私钥
  
  let token = jwt.sign({
  
  data,
  
  exp: created + 3600 * 24
  
  }, cert, {algorithm: 'RS256'});
  
  return token;
  
  }
  
  //登录接口
  
  router.post('/oa/login', async (ctx, next) => {
  
  let data = ctx.request.body;
  
  let {name, password} = data;
  
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  
  await db.query(sql, value).then(res => {
  
  if (res && res.length > 0) {
  
  let val = res[0];
  
  let uid = val['uid'];
  
  let token = generateToken({uid});
  
  ctx.body = {
  
  ...Tips[0], data: {token}
  
  }
  
  } else {
  
  ctx.body www.michenggw.com/= Tips[1006];
  
  }
  
  }).catch(e =www.yigouyule2.cn> {
  
  ctx.body = www.mhylpt.com/ Tips[1002];
  
  });
  
  });
  
  用户通过校验将获取到的token存放在本地:
  
  ?
  
  1
  
  store.set('loginedtoken',token);//store为插件
  
  之后客户端请求需要验证身份的接口,都会将token放在请求头里传递给服务端:

  service.interceptors.request.use(config => {
  
  let params = config.params |www.gcyl158.com| {};
  
  let loginedtoken = store.get('loginedtoken');
  
  let time = Date.now(www.gcyL157.com);
  
  let {headers} = config;
  
  headers = {.www.feifanyule.cn/..headers,loginedtoken};
  
  params = {...params,_:time};
  
  config = {...config,params,headers};
  
  return config;
  
  }, error => {
  
  Promise.reject(error);
  
  })
  
  服务端对所有需要登录的接口均拦截token并校验合法性。
  
  ?
  
  1
  
  2
  
  3
  
  4
  
  5
  
  6
  
  7
  
  8
  
  9
  
  10
  
  11
  
  12
  
  13
  
  14
  
  15
  
  16
  
  17
  
  18
  
  19
  
  20
  
  21
  
  22
  
  23
  
  24
  
  25
  
  26
  
  27
  
  28
  
  29
  
  30
  
  31
  
  32
  
  33
  
  34
  
  35
  
  36
  
  function verifyToken(token){
  
  let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公钥
  
  try{
  
  let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
  
  let {exp = 0} = result,current = Math.floor(Date.now()/1000);
  
  if(current <= exp){
  
  res = result.data || {};
  
  }
  
  }catch(e){
  
  }
  
  return res;
  
  }
  
  app.use(async(ctx, next) => {
  
  let {url = ''} = ctx;
  
  if(url.indexOf('/user/') > -1){//需要校验登录态
  
  let header = ctx.request.header;
  
  let {loginedtoken} = header;
  
  if (loginedtoken) {
  
  let result = verifyToken(loginedtoken);
  
  let {uid} = result;
  
  if(uid){
  
  ctx.state = {uid};
  
  await next();
  
  }else{
  
  return ctx.body = Tips[1005];
  
  }
  
  } else {
  
  return ctx.body = Tips[1005];
  
  }
  
  }else{
  
  await next();
  
  }
  
  });
  
  本示例使用的公钥与私钥可自己生成,操作如下:
  
  打开命令行工具,输入openssl,打开openssl;
  
  生成私钥:genrsa -out rsa_private_key.pem 2048
  
  生成公钥: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

session-cookie 和token登录验证的更多相关文章

  1. cookie实现用户登录验证

    cookie实现用户登录验证 1, INSTALLED_APPS中注册app03 2,在主程序中新建映射关系到app3的url中 from django.conf.urls import url,in ...

  2. token登录验证机制

    一张图解释 token登录验证机制

  3. requests保持登录session ,cookie 和 token

    一.request提供了一个一个叫做session的类,来实现客户端和服务端的会话保持 # coding:utf-8 import requests url = "https://passp ...

  4. Asp.net MVC访问框架页中嵌套的iframe页面时,如果session或cookie过期,登录验证超时怎样自动跳转到登录页

    一般登录验证的过滤器中,使用验证过滤器的Redirect方法,将请求重定向到指定的URL.但是如果我们要访问的页面是一个嵌套在框架页中的iframe页面时,这种重定向只会对iframe页面凑效,也就是 ...

  5. 使用session插件并且实现登录验证

    var express = require('express'); var cookieParser = require('cookie-parser'); var bodyParser = requ ...

  6. 【笔记】vue+springboot前后端分离实现token登录验证和状态保存的简单实现方案

    简单实现 token可用于登录验证和权限管理. 大致步骤分为: 前端登录,post用户名和密码到后端. 后端验证用户名和密码,若通过,生成一个token返回给前端. 前端拿到token用vuex和lo ...

  7. Spring mvc session cookie实现自动登录

    设计过程 1. user表存储用户名密码等信息,login表存放用户登陆状态的表 user表中存储username,pwd,等信息 login表存username,series(UUID),token ...

  8. token登录验证机制图解

  9. web登录的session、cookie和token

    为什么会有登录这回事 首先这是因为HTTP是无状态的协议,所谓无状态就是在两次请求之间服务器并不会保存任何的数据,相当于你和一个人说一句话之后他就把你忘掉了.所以,登录就是用某种方法让服务器在多次请求 ...

随机推荐

  1. BZOJ1202: [HNOI2005]狡猾的商人(带权并查集)

    Time Limit: 10 Sec  Memory Limit: 162 MBSubmit: 4577  Solved: 2249[Submit][Status][Discuss] Descript ...

  2. C#基础-委托与事件

    委托 delegate是申明委托的关键字 返回类型都是相同的,并且参数类型个数都相同 委托声明 delegate double DelOperater(double num1, double num2 ...

  3. Python文件IO(普通文件读写)

    ## 打开一个文件 - fileobj = open(filename, mode) 其中: fileobj是open()返回的文件对象 filename是该文件的字符串名 mode是指明文件类型和操 ...

  4. <Docker学习>6. docker使用网络

    在容器中部署一个web应用,外部如何访问? 容器与容器间如何访问? 外部访问容器 容器可以运行一些网络应用,让外部也可以访问的话,需要进行服务器和容器的端口映射 -p 或者 -P -P默认会分配一个4 ...

  5. パラメータID一覧

    名称 内容 ABK 処理グループ. AUF 受注伝票タイプ. AVE FI:支払明細通知書のテンプレート登録. BAR 伝票タイプ. BNK 銀行コード. BUK 会社コード. CAC 管理領域. D ...

  6. MySQL CONCAT()与GROUP_CONCAT()的使用

      1 . MySQL CONCAT(str1,str2, ...)  --返回连接的字符串 mysql> SELECT CONCAT('My', 'S', 'QL'); -> 'MySQ ...

  7. 关于C、内存、栈的一些杂谈

    c的程序要手动管理内存的,所有的数据(结构)都可以分为两种存储方式,连续存储,顾名思义申请一片连续的内存以供使用(数组.结构体.共用体.栈.队列):非连续存储,顾名思义断断续续的的存储,那有一点这有一 ...

  8. is 和 == 的区别,utf和gbk的转换,join用法

    is 和 == 的区别 # is 比较的是内存地址 # == 比较的是值 a = 'alex' b = 'alex' #int,str(小数据池)会被缓存,为了节约内存 print(id(a),id( ...

  9. python开发记录第一篇

    1. 安装pyCharm,下载地址https://www.jetbrains.com/pycharm/ 2. 注册license,修改windwos系统hosts,文件路径为:C:\Windows\S ...

  10. 二分查找iOS

    二分查找(也称折半查找)是很常见的一种在数组中查找数据的算法,作为一名程序员是应该必须会的.它的基础思想:获取数组的中间值,将数组分割成两份,利用查找的值跟中间值进行比较,如果查找的值大于中间值,就在 ...