node實現基于token的身份驗證

來源：懂視網責編：小采時間：2020-11-27 19:56:05

node實現基于token的身份驗證

node實現基于token的身份驗證:這篇文章主要介紹了node實現基于token的身份驗證，現在分享給大家，有需要的朋友可以參考一下最近研究了下基于token的身份驗證，并將這種機制整合在個人項目中。現在很多網站的認證方式都從傳統的seesion+cookie轉向token校驗。對比傳統的校驗方式，toke

推薦度：

點擊下載本文 文檔為doc格式

導讀node實現基于token的身份驗證:這篇文章主要介紹了node實現基于token的身份驗證，現在分享給大家，有需要的朋友可以參考一下最近研究了下基于token的身份驗證，并將這種機制整合在個人項目中。現在很多網站的認證方式都從傳統的seesion+cookie轉向token校驗。對比傳統的校驗方式，toke

這篇文章主要介紹了node實現基于token的身份驗證，現在分享給大家，有需要的朋友可以參考一下

最近研究了下基于token的身份驗證，并將這種機制整合在個人項目中。現在很多網站的認證方式都從傳統的seesion+cookie轉向token校驗。對比傳統的校驗方式，token確實有更好的擴展性與安全性。

傳統的session+cookie身份驗證

由于HTTP是無狀態的，它并不記錄用戶的身份。用戶將賬號與密碼發送給服務器后，后臺通過校驗，但是并沒有記錄狀態，于是下一次用戶的請求仍然需要校驗身份。為了解決這一問題，需要在服務端生成一條包含用戶身份的記錄，也就是session，再將這條記錄發送給用戶并存儲在用戶本地，即cookie。接下來用戶的請求都會帶上這條cookie，若客戶端的cookie與服務端的session能對應上，則說明用戶身份驗證通過。

token身份校驗

流程大致如下：

第一次請求時，用戶發送賬號與密碼
后臺校驗通過，則會生成一個有時效性的token,再將此token發送給用戶
用戶獲得token后，將此token存儲在本地，一般存儲在localstorage或cookie
之后的每次請求都會將此token添加在請求頭里，所有需要校驗身份的接口都會被校驗token，若token解析后的數據包含用戶身份信息，則身份驗證通過。

對比傳統的校驗方式，token校驗有如下優勢：

在基于token的認證，token通過請求頭傳輸，而不是把認證信息存儲在session或者cookie中。這意味著無狀態。你可以從任意一種可以發送HTTP請求的終端向服務器發送請求。
可以避免CSRF攻擊
當在應用中進行 session的讀，寫或者刪除操作時，會有一個文件操作發生在操作系統的temp 文件夾下，至少在第一次時。假設有多臺服務器并且 session 在第一臺服務上創建。當你再次發送請求并且這個請求落在另一臺服務器上，session 信息并不存在并且會獲得一個“未認證”的響應。我知道，你可以通過一個粘性 session 解決這個問題。然而，在基于 token 的認證中，這個問題很自然就被解決了。沒有粘性 session 的問題，因為在每個發送到服務器的請求中這個請求的 token 都會被攔截。

下面介紹一下利用node+jwt(jwt教程)搭建簡易的token身份校驗

示例

當用戶第一次登錄時，提交賬號與密碼至服務器，服務器校驗通過，則生成對應的token，代碼如下：

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
 let created = Math.floor(Date.now() / 1000);
 let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰
 let token = jwt.sign({
 data,
 exp: created + 3600 * 24
 }, cert, {algorithm: 'RS256'});
 return token;
}

//登錄接口
router.post('/oa/login', async (ctx, next) => {
 let data = ctx.request.body；
 let {name, password} = data;
 let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
 await db.query(sql, value).then(res => {
 if (res && res.length > 0) {
 let val = res[0];
 let uid = val['uid'];
 let token = generateToken({uid});
 ctx.body = {
 ...Tips[0], data: {token}
 }
 } else {
 ctx.body = Tips[1006];
 }
 }).catch(e => {
 ctx.body = Tips[1002];
 });

});

用戶通過校驗將獲取到的token存放在本地：

store.set('loginedtoken',token);//store為插件

之后客戶端請求需要驗證身份的接口，都會將token放在請求頭里傳遞給服務端：

service.interceptors.request.use(config => {
 let params = config.params || {};
 let loginedtoken = store.get('loginedtoken');
 let time = Date.now();
 let {headers} = config;
 headers = {...headers,loginedtoken};
 params = {...params,_:time};
 config = {...config,params,headers};
 return config;
}, error => {
 Promise.reject(error);
})

服務端對所有需要登錄的接口均攔截token并校驗合法性。

function verifyToken(token){
 let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公鑰
 try{
 let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
 let {exp = 0} = result,current = Math.floor(Date.now()/1000);
 if(current <= exp){
 res = result.data || {};
 }
 }catch(e){

 }
 return res;

}

app.use(async(ctx, next) => {
 let {url = ''} = ctx;
 if(url.indexOf('/user/') > -1){//需要校驗登錄態
 let header = ctx.request.header;
 let {loginedtoken} = header;
 if (loginedtoken) {
 let result = verifyToken(loginedtoken);
 let {uid} = result;
 if(uid){
 ctx.state = {uid};
 await next();
 }else{
 return ctx.body = Tips[1005];
 }
 } else {
 return ctx.body = Tips[1005];
 }
 }else{
 await next();
 }
});

本示例使用的公鑰與私鑰可自己生成，操作如下：