一、登陆的验证流程

  当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端

二、基于token的身份验证方法

  1、用户向服务器发送用户名和密码。

   2、服务端收到请求,去验证用户名与密码

  3、验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。

  4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

  5、用户随后的每一次请求,都会通过 Cookie,将 token 传回服务器。

  6、服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

三、jsonwebtoken

  1、jwt的原理

     服务器认证后,生成一个json对象,发送给用户,就向下面这样

{

  "姓名": "alley",

  "角色": "管理员",

  "到期时间": "2019年3月9日0点0分"

}

  

  2、jwt的组成部分

   header:头部    payload:负载    secret:签名

  2-1、header:

  header是一个json对象,主要由2部分组成,一个是token的类型,一个是使用的算法

{

    type:"jwt",

    alg:"HS256"

}

  2-2、payload:

  payload也是一个json对象,用来存放实际需要传递的数据,官方规定了7个字段

iss (issuer):签发人 
exp (expiration time):过期时间 
sub (subject):主题 
aud (audience):受众 
nbf (Not Before):生效时间 
iat (Issued At):签发时间 
jti (JWT ID):编号

  

  除了官方定义的7个字段外,你还可以定义其他私有字段

{

   iss:"admin",

   user:'alley',

}

  注意:JWT默认是不加密的,任何人都可以读到,所以不要把私密信息放入这个部分

  2-3、secret:

  secret是一个签名,防止数据篡改。这个签名只有服务器知道,不能泄露给用户。然后使用

  header中的签名算法生成签名。(算法默认是HMAC SHA256)

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  secret)

  

  

四、jwt的基本使用(基于express)

const jwt = require("jsonwebtoken");

const secret = "secret";//签名

const getCookie = (key)=>{

    const cookies = req.headers.cookie;

    const arr = cookies.split("; ");

    for(var i=0;i<arr.length;i++){

        let newArr = arr[i].split("=");

        if(newArr[0] == key){

            return newArr[1];

        }

    }

}

//验证token

const verifyTokenMiddle = (req,res,next)=>{

    let token = getCookie("token");

    jwt.verify(token, scret, function(err, decoded) {

        if(err){

            return res.json({

                state:false,

                info:"token验证失败"

            })

        }

        next()

  });

}

//创建token

const createToken = (username)=>{

    const payload = {

        user:username

    }

    return jwt.sign(payload, secret,{expiresIn:'1h'});

}

module.exports = {

    createToken,

    verifyTokenMiddle

}

【node】---token的原理及使用---【alley】的更多相关文章

  1. Django中csrf token验证原理

    我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask.博客园也没有维护.直到我的博客收到了 ...

  2. JSON WEB TOKEN 从原理到实战

    阅读本文大概需要 4.2 分钟. 作者:王廷骏原文:https://juejin.im/post/5ce272c1e51d45109b01b0f8 1. JSON WEB TOKEN 1.1 什么是J ...

  3. 初学node node开发环境搭建 node模块化 commonJS原理

    由于Node.js平台是在后端运行JavaScript代码,所以,必须首先在本机安装Node环境. 学习node,首先要装node,和它的包管理工具,这两个都是傻瓜式安装,百度一下就安装了. 安装完之 ...

  4. struts2令牌(token)内部原理

      小菜最近接触了struts2中的令牌知识,由于该知识点比较重要,因此想弄明白些,于是满怀信心的上网查阅资料,结果让小菜很无奈,网上的资料千篇一律,总结出来就一句话:“访问页面时,在页面产生一个to ...

  5. node 模块载入原理【1】

    简单介绍 我们会从简单的模块载入原理来开始,尝试阅读下 Node.js 源代码.首先我们知道 Node.js 的源代码主要是由 C++ 和 JavaScript 编写的,JS 部分主要在 lib 目录 ...

  6. node(async原理)

    node中的async是用来实现同步操作的,提供包括map.Series等方法,本文不做赘述. 由于项目需要在浏览器端用了async.js,因此仔细看了下它的代码.原来,一直以为node是在服务端调用 ...

  7. Java Token的原理和生成使用机制

    在此之前我们先了解一下什么是Cookie.Session.Token 1.什么是Cookie? cookie指的就是浏览器里面能永久存储数据的一种数据存储功能.cookie由服务器生成,发送给浏览器, ...

  8. CSRF token的原理

    参考: http://www.cnblogs.com/zhaof/p/6281482.html 简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.cs ...

  9. Token原理以及应用

    近期由于项目需要开发供第三方使用的api,在整个架构设计的一个环节中,对api访问需要进行认证,在这里我选择了token认证. 一:token的优势(此部分引自http://www.sumahe.cn ...

随机推荐

  1. [转]DrawPrimitive 详解Direct3DDevice8

    Direct3DDevice8 函数 05-39  DrawPrimitive 详解 费了好大的劲,终于搞清楚 DirectX 3D 三维图像中 DrawPrimitive 的用法(自嘲:未必). D ...

  2. JWT工具类

    package com.ynhrm.common.utils; import io.jsonwebtoken.Claims;import io.jsonwebtoken.JwtBuilder;impo ...

  3. java8 Date LocalDate LocaDateTime 互相转化

    java 8中 java.util.Date 类新增了两个方法,分别是from(Instant instant)和toInstant()方法 // Obtains an instance of Dat ...

  4. Java中的宏变量,宏替换详解。

    群友在微信群讨论的一个话题,有点意思,特拿出来分享一下. 首先来看下面这段程序,和群友分享的大致一样. public static void main(String[] args) { String ...

  5. CF914D

    CF914D 用线段树乱搞一下就行qwq #include<iostream> #include<cstring> #include<cstdio> #includ ...

  6. Pytest -断言、跳过及运行

    基本断言方法: Pytest框架assert断言使用 • 断言:支持显示最常见的子表达式的值,包括调用,属性,比较以及二元和一元运算 符. • 包含,相等,不等,大于 小于运算,assertnot 假 ...

  7. JS提示信息来检测相应id的标签

    2015-07~2015-08 (其中$为document.getElementById()) 使用span提示信息来检测相应id的标签,没有返回值 infoTips("LRYH" ...

  8. Python大小写转换

    大小写转换 name = "xiao ming" name = name.upper() # 转为大写 print(name) name = name.lower() # 转为小写 ...

  9. 通过实例详细讲解PHP垃圾回收机制

    PHP垃圾回收机制:1. PHP可以自动进行内存管理,清除不需要的对象,主要使用了引用计数2. 在zval结构体中定义了ref_count和is_ref , ref_count是引用计数 ,标识此zv ...

  10. 【leetcode】970. Powerful Integers

    题目如下: Given two non-negative integers x and y, an integer is powerful if it is equal to x^i + y^j fo ...