一、登陆的验证流程

  当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端

二、基于token的身份验证方法

  1、用户向服务器发送用户名和密码。

   2、服务端收到请求,去验证用户名与密码

  3、验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。

  4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

  5、用户随后的每一次请求,都会通过 Cookie,将 token 传回服务器。

  6、服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

三、jsonwebtoken

  1、jwt的原理

     服务器认证后,生成一个json对象,发送给用户,就向下面这样

{

  "姓名": "alley",

  "角色": "管理员",

  "到期时间": "2019年3月9日0点0分"

}

  

  2、jwt的组成部分

   header:头部    payload:负载    secret:签名

  2-1、header:

  header是一个json对象,主要由2部分组成,一个是token的类型,一个是使用的算法

{

    type:"jwt",

    alg:"HS256"

}

  2-2、payload:

  payload也是一个json对象,用来存放实际需要传递的数据,官方规定了7个字段

iss (issuer):签发人 
exp (expiration time):过期时间 
sub (subject):主题 
aud (audience):受众 
nbf (Not Before):生效时间 
iat (Issued At):签发时间 
jti (JWT ID):编号

  

  除了官方定义的7个字段外,你还可以定义其他私有字段

{

   iss:"admin",

   user:'alley',

}

  注意:JWT默认是不加密的,任何人都可以读到,所以不要把私密信息放入这个部分

  2-3、secret:

  secret是一个签名,防止数据篡改。这个签名只有服务器知道,不能泄露给用户。然后使用

  header中的签名算法生成签名。(算法默认是HMAC SHA256)

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  secret)

  

  

四、jwt的基本使用(基于express)

const jwt = require("jsonwebtoken");

const secret = "secret";//签名

const getCookie = (key)=>{

    const cookies = req.headers.cookie;

    const arr = cookies.split("; ");

    for(var i=0;i<arr.length;i++){

        let newArr = arr[i].split("=");

        if(newArr[0] == key){

            return newArr[1];

        }

    }

}

//验证token

const verifyTokenMiddle = (req,res,next)=>{

    let token = getCookie("token");

    jwt.verify(token, scret, function(err, decoded) {

        if(err){

            return res.json({

                state:false,

                info:"token验证失败"

            })

        }

        next()

  });

}

//创建token

const createToken = (username)=>{

    const payload = {

        user:username

    }

    return jwt.sign(payload, secret,{expiresIn:'1h'});

}

module.exports = {

    createToken,

    verifyTokenMiddle

}

【node】---token的原理及使用---【alley】的更多相关文章

  1. Django中csrf token验证原理

    我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask.博客园也没有维护.直到我的博客收到了 ...

  2. JSON WEB TOKEN 从原理到实战

    阅读本文大概需要 4.2 分钟. 作者:王廷骏原文:https://juejin.im/post/5ce272c1e51d45109b01b0f8 1. JSON WEB TOKEN 1.1 什么是J ...

  3. 初学node node开发环境搭建 node模块化 commonJS原理

    由于Node.js平台是在后端运行JavaScript代码,所以,必须首先在本机安装Node环境. 学习node,首先要装node,和它的包管理工具,这两个都是傻瓜式安装,百度一下就安装了. 安装完之 ...

  4. struts2令牌(token)内部原理

      小菜最近接触了struts2中的令牌知识,由于该知识点比较重要,因此想弄明白些,于是满怀信心的上网查阅资料,结果让小菜很无奈,网上的资料千篇一律,总结出来就一句话:“访问页面时,在页面产生一个to ...

  5. node 模块载入原理【1】

    简单介绍 我们会从简单的模块载入原理来开始,尝试阅读下 Node.js 源代码.首先我们知道 Node.js 的源代码主要是由 C++ 和 JavaScript 编写的,JS 部分主要在 lib 目录 ...

  6. node(async原理)

    node中的async是用来实现同步操作的,提供包括map.Series等方法,本文不做赘述. 由于项目需要在浏览器端用了async.js,因此仔细看了下它的代码.原来,一直以为node是在服务端调用 ...

  7. Java Token的原理和生成使用机制

    在此之前我们先了解一下什么是Cookie.Session.Token 1.什么是Cookie? cookie指的就是浏览器里面能永久存储数据的一种数据存储功能.cookie由服务器生成,发送给浏览器, ...

  8. CSRF token的原理

    参考: http://www.cnblogs.com/zhaof/p/6281482.html 简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.cs ...

  9. Token原理以及应用

    近期由于项目需要开发供第三方使用的api,在整个架构设计的一个环节中,对api访问需要进行认证,在这里我选择了token认证. 一:token的优势(此部分引自http://www.sumahe.cn ...

随机推荐

  1. springboot controller传参,对象映射

    Post请求,对象映射时,在参数 加 @RequestBody: 传入对象内字段的json才能映射 {"legendData": [100,90,80,70,60,50,40,30 ...

  2. centos 7 下升级自带 sqlite3

    问题 在 centos 7 上面运行 django 2.2 开发服务器时出现: django.core.exceptions.ImproperlyConfigured: SQLite 3.8.3 or ...

  3. Python模块学习之xlrd 读取Excel时传入formatting_info=True报错:NotImplementedError: formatting_info=True not yet implemented

    问题:xlrd读取Excel时传入 formatting_info=True 报错 之前我们使用读取xls文件的时候都是使用的xlrd库,但是这个库只能操作 .xls格式,对于后来的 .xlsx的版本 ...

  4. 02 java语言基础

    常量:字面值常量(字符串,字符,整数,小数,布尔,null),自定义常量,''这个不是字符常量,""这个是字符串常量 进制: 02.01_Java语言基础(常量的概述和使用) A: ...

  5. Hello cnblogs!

    console.log('Hello cnblogs')!

  6. UVA11054_Wine trading in Gergovia

    大致题意: 直线上有n个村庄,要么买酒要么卖酒,运酒到隔壁村庄需要这个酒的权值个劳动力 问你至少需要多少劳动力 题目保证了所有权值和为0!!!!!!!!!!!!这个意义重大,表示这是一个封闭的群体 这 ...

  7. jmeter 不同线程组之间传递变量3

    jemter编写脚本要点: 1.切记:BeanShell PostProcessor写在关联函数 Regular Expression Extractor的后面 2.header  HTTP Head ...

  8. python基础【第九篇】

    补充知识 1.字符串方法的补充 s = str() s.format() # 格式化输出 "连接符".join("连接的对象") # 拼接 s.find() # ...

  9. [轉]User namespaces – available to play!

    User namespaces – available to play! Posted on May 10, 2012by s3hh Over the past few months, Eric Bi ...

  10. ArcGis 创建Annotation注记要素类、添加注记要素 并加载到Activeview AO C#

    AO中一般有两种方式存储图面注记元素,一种使用TextElement,它是文档级的元素,编辑后要通过文档(mxd)保存:另一种是使用Annotation要素类,它是一个独立的要素类(featurecl ...