一、登陆的验证流程

  当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端

二、基于token的身份验证方法

  1、用户向服务器发送用户名和密码。

   2、服务端收到请求,去验证用户名与密码

  3、验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。

  4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

  5、用户随后的每一次请求,都会通过 Cookie,将 token 传回服务器。

  6、服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

三、jsonwebtoken

  1、jwt的原理

     服务器认证后,生成一个json对象,发送给用户,就向下面这样

{

  "姓名": "alley",

  "角色": "管理员",

  "到期时间": "2019年3月9日0点0分"

}

  

  2、jwt的组成部分

   header:头部    payload:负载    secret:签名

  2-1、header:

  header是一个json对象,主要由2部分组成,一个是token的类型,一个是使用的算法

{

    type:"jwt",

    alg:"HS256"

}

  2-2、payload:

  payload也是一个json对象,用来存放实际需要传递的数据,官方规定了7个字段

iss (issuer):签发人 
exp (expiration time):过期时间 
sub (subject):主题 
aud (audience):受众 
nbf (Not Before):生效时间 
iat (Issued At):签发时间 
jti (JWT ID):编号

  

  除了官方定义的7个字段外,你还可以定义其他私有字段

{

   iss:"admin",

   user:'alley',

}

  注意:JWT默认是不加密的,任何人都可以读到,所以不要把私密信息放入这个部分

  2-3、secret:

  secret是一个签名,防止数据篡改。这个签名只有服务器知道,不能泄露给用户。然后使用

  header中的签名算法生成签名。(算法默认是HMAC SHA256)

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  secret)

  

  

四、jwt的基本使用(基于express)

const jwt = require("jsonwebtoken");

const secret = "secret";//签名

const getCookie = (key)=>{

    const cookies = req.headers.cookie;

    const arr = cookies.split("; ");

    for(var i=0;i<arr.length;i++){

        let newArr = arr[i].split("=");

        if(newArr[0] == key){

            return newArr[1];

        }

    }

}

//验证token

const verifyTokenMiddle = (req,res,next)=>{

    let token = getCookie("token");

    jwt.verify(token, scret, function(err, decoded) {

        if(err){

            return res.json({

                state:false,

                info:"token验证失败"

            })

        }

        next()

  });

}

//创建token

const createToken = (username)=>{

    const payload = {

        user:username

    }

    return jwt.sign(payload, secret,{expiresIn:'1h'});

}

module.exports = {

    createToken,

    verifyTokenMiddle

}

【node】---token的原理及使用---【alley】的更多相关文章

  1. Django中csrf token验证原理

    我多年没维护的博客园,有一篇初学Django时的笔记,记录了关于django-csrftoekn使用笔记,当时几乎是照抄官网的使用示例,后来工作全是用的flask.博客园也没有维护.直到我的博客收到了 ...

  2. JSON WEB TOKEN 从原理到实战

    阅读本文大概需要 4.2 分钟. 作者:王廷骏原文:https://juejin.im/post/5ce272c1e51d45109b01b0f8 1. JSON WEB TOKEN 1.1 什么是J ...

  3. 初学node node开发环境搭建 node模块化 commonJS原理

    由于Node.js平台是在后端运行JavaScript代码,所以,必须首先在本机安装Node环境. 学习node,首先要装node,和它的包管理工具,这两个都是傻瓜式安装,百度一下就安装了. 安装完之 ...

  4. struts2令牌(token)内部原理

      小菜最近接触了struts2中的令牌知识,由于该知识点比较重要,因此想弄明白些,于是满怀信心的上网查阅资料,结果让小菜很无奈,网上的资料千篇一律,总结出来就一句话:“访问页面时,在页面产生一个to ...

  5. node 模块载入原理【1】

    简单介绍 我们会从简单的模块载入原理来开始,尝试阅读下 Node.js 源代码.首先我们知道 Node.js 的源代码主要是由 C++ 和 JavaScript 编写的,JS 部分主要在 lib 目录 ...

  6. node(async原理)

    node中的async是用来实现同步操作的,提供包括map.Series等方法,本文不做赘述. 由于项目需要在浏览器端用了async.js,因此仔细看了下它的代码.原来,一直以为node是在服务端调用 ...

  7. Java Token的原理和生成使用机制

    在此之前我们先了解一下什么是Cookie.Session.Token 1.什么是Cookie? cookie指的就是浏览器里面能永久存储数据的一种数据存储功能.cookie由服务器生成,发送给浏览器, ...

  8. CSRF token的原理

    参考: http://www.cnblogs.com/zhaof/p/6281482.html 简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.cs ...

  9. Token原理以及应用

    近期由于项目需要开发供第三方使用的api,在整个架构设计的一个环节中,对api访问需要进行认证,在这里我选择了token认证. 一:token的优势(此部分引自http://www.sumahe.cn ...

随机推荐

  1. 实验吧关于隐写术的writeUp(一)

    0x01 Spamcarver 原题链接 http://www.shiyanbar.com/ctf/2002 1.用Hex workshop打开图片,图片的开头是 FF D8 ,这是jpeg格式的文件 ...

  2. js全局变量优点和缺点

    全局变量的优点:可以减少变量的个数,减少由于实际参数和形式参数的数据传递带来的时间消耗. 全局变量的缺点: (1)全局变量保存在静态存贮区,程序开始运行时为其分配内存,程序结束释放该内存.与局部变量的 ...

  3. 修改Mysql procedure,function and view definer

    1 一次性修改遇到错误 update mysql.proc set definer='root@%'; update mysql.proc set definer='root@%'; ERROR 10 ...

  4. git 上传你代码到码云

    转载自:http://blog.csdn.net/u013776188/article/details/60867437

  5. 38-python基础-python3-检查字典中是否存在键或值

    in 和 not in 操作符   请注意, 在前面的例子中,‘name’ in spam 本质上是一个简写版本.相当于'name' in spam.keys()

  6. JavaScript_DOM(文件对象模型)

    DOM(文档对象模型)是针对 HTML 和 XML 文档的一个 API(应用程序编程接口). DOM 描绘了一个层次化的节点树,允许开发人员添加.移除和修改页面的某一部分. DOM1 级将 HTML ...

  7. chroot 试用alpinelinux安装软件包的问题

    前边有说明使用chroot 体验alpinelinux,但是因为默认没有dns server,造成软件包无法下载 现象 问题原因 解决方法 copy host resolv.conf 到alpine ...

  8. Http2协议简介

    1.概述 和http1兼容.HTTP/2 没有改动 HTTP 的应用语义. HTTP 方法.状态代码.URI 和标头字段等核心概念一如往常. 不过,HTTP/2 修改了数据格式化(分帧)以及在客户端与 ...

  9. 深入理解Magento - 第一章 - Magento强大的配置系统

    深入理解Magento 作者:Alan Storm翻译:zhlmmc 前言第一章 - Magento强大的配置系统第二章 - Magento请求分发与控制器第三章 - 布局,块和模板第四章 - 模型和 ...

  10. 编码格式分类: 前后端传递数据的编码格式contentType

    urlencoded:form表单和ajax提交数据的默认编码格式 form-data:传文件 application/json:json格式数据 >>> 前后端分离 urlenco ...