亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何在Node中利用koa2實現一個JWT鑒權功能

發布時間:2021-01-27 15:28:27 來源:億速云 閱讀:312 作者:Leah 欄目:開發技術

今天就跟大家聊聊有關如何在Node中利用koa2實現一個JWT鑒權功能,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。

JWT 簡介

什么是 JWT

全稱 JSON Web Token , 是目前最流行的跨域認證解決方案。基本的實現是服務端認證后,生成一個 JSON 對象,發回給用戶。用戶與服務端通信的時候,都要發回這個 JSON 對象。

JSON 類似如下:

{
 "姓名": "張三",
 "角色": "管理員",
 "到期時間": "2018年7月1日0點0分"
}

為什么需要 JWT

先看下一般的認證流程,基于 session_idCookie 實現

1、用戶向服務器發送用戶名和密碼。

2、服務器驗證通過后,在當前對話( session )里面保存相關數據,比如用戶角色、登錄時間等等。

3、服務器向用戶返回一個 session_id ,寫入用戶的 Cookie

4、用戶隨后的每一次請求,都會通過 Cookie ,將 session_id 傳回服務器。

5、服務器收到 session_id ,找到前期保存的數據,由此得知用戶的身份。

但是這里有一個大的問題, 假如是服務器集群,則要求 session 數據共享,每臺服務器都能夠讀取 session 。這個實現成本是比較大的。

JWT 轉換了思路,將 JSON 數據返回給前端的,前端再次請求時候將數據發送到后端,后端進行驗證。也就是服務器是無狀態的,所以更加容易拓展。

JWT 的數據結構

JWT 的三個部分依次如下:

Header (頭部),類似如下

{
 "alg": "HS256",
 "typ": "JWT"
}

alg 屬性表示簽名的算法( algorithm ),默認是 HMAC SHA256 (寫成 HS256 )。 typ 屬性表示這個令牌( token )的類型( type ), JWT 令牌統一寫為 JWT

Payload (負載)。也是一個 JSON ,用來存放實際需要傳遞的數據。 JWT 規定了 7 個官方字段。如下所示

  • iss (issuer):簽發人

  • exp (expiration time):過期時間

  • sub (subject):主題

  • aud (audience):受眾

  • nbf (Not Before):生效時間

  • iat (Issued At):簽發時間

  • jti (JWT ID):編號

當然也可以自定義私有字段。 但是要注意,JWT 默認是不加密的,任何人都可以讀到,所以不要把秘密信息放在這個部分。

Signature (簽名)。 Signature 部分是對前兩部分的簽名,防止數據篡改。首先,需要指定一個密鑰( secret )。這個密鑰只有服務器才知道,不能泄露給用戶。然后,使用 Header 里面指定的簽名算法(默認是 HMAC SHA256 ),按照下面的公式產生簽名。

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

算出簽名以后,把 HeaderPayloadSignature 三個部分拼成一個字符串,每個部分之間用"點"(.)分隔,就可以返回給用戶。如下所示

如何在Node中利用koa2實現一個JWT鑒權功能

JWT 的安全

  • JWT 默認是不加密,但也是可以加密的。 JWT 不加密的情況下,不能將秘密數據寫入 JWT

  • JWT 本身包含了認證信息,一旦泄露,任何人都可以獲得該令牌的所有權限。為了減少盜用, JWT 的有效期應該設置得比較短。對于一些比較重要的權限,使用時應該再次對用戶進行認證

  • 為了減少盜用, JWT 不應該使用 HTTP 協議明碼傳輸,要使用 HTTPS 協議傳輸

Node 簡單demo—— Koa JWT 的實現

說完理論知識,我們來看下如何實現 JWT ,大致的流程如下:

如何在Node中利用koa2實現一個JWT鑒權功能

首先,用戶登錄后服務端根據用戶信息生成并返回 token 給到客戶端,前端在下次請求中把 token 帶給服務器,服務器驗證有效后,返回數據。無效的話,返回 401 狀態碼

這里我們用 Node 實現,主要用到的兩個庫有

jsonwebtoken ,可以生成 token ,校驗等

 koa-jwt 中間件 對 jsonwebtoken 進一步的封裝,主要用來校驗 token

快速搭建一個 koa 項目

發現官方目前沒有一個快速搭建 koa 項目的方式,像 Vue-cli 一樣。(可能是搭建一個 koa 項目成本也很低)。但懶人的我,還是找到了一個工具 ——koa-generator ,使用也相對簡單,如下

安裝

npm install -g koa-generator

koa2 my-project 新建一個叫做 my-projectkoa2 項目

cd my-projectnpm install

啟動項目 npm start

打開 localhost:3000

生成 Token

為了演示方便,我這里直接定義了變量 userList 存儲用戶的信息,真實應該是存放在數據庫中的。

const crypto = require("crypto"),
 jwt = require("jsonwebtoken");
// TODO:使用數據庫
// 這里應該是用數據庫存儲,這里只是演示用
let userList = [];

class UserController {
 // 用戶登錄
 static async login(ctx) {
  const data = ctx.request.body;
  if (!data.name || !data.password) {
   return ctx.body = {
    code: "000002", 
    message: "參數不合法"
   }
  }
  const result = userList.find(item => item.name === data.name && item.password === crypto.createHash('md5').update(data.password).digest('hex'))
  if (result) {
   const token = jwt.sign(
    {
     name: result.name
    },
    "Gopal_token", // secret
    { expiresIn: 60 * 60 } // 60 * 60 s
   );
   return ctx.body = {
    code: "0",
    message: "登錄成功",
    data: {
     token
    }
   };
  } else {
   return ctx.body = {
    code: "000002",
    message: "用戶名或密碼錯誤"
   };
  }
 }
}

module.exports = UserController;

通過 jsonwebtokensign 方法生成一個 token 。該方法第一個參數指的是 Payload (負載),用于編碼后存儲在 token 中的數據,也是校驗 token 后可以拿到的數據。第二個是秘鑰,服務端特有, 注意校驗的時候要相同才能解碼,而且是保密的 ,一般而言,最好是定公共的變量,這里只是演示方便,直接寫死。第三個參數是 option ,可以定義 token 過期時間

客戶端獲取 token

前端登錄獲取到 token 后可以存儲到 cookie 中也可以存放在 localStorage 中。這里我直接存到了 localStorage

login() {
 this.$axios
  .post("/api/login", {
   ...this.ruleForm,
  })
  .then(res => {
   if (res.code === "0") {
    this.$message.success('登錄成功');
    localStorage.setItem("token", res.data.token);
    this.$router.push("/");
   } else {
    this.$message(res.message);
   }
  });
}

封裝 axios 的攔截器,每次請求的時候把 token 帶在請求頭發送給服務器進行驗證。這里如果之前放在 Cookie 中,可以讓它自動發送,但是這樣不能跨域。所以推薦做法是放在 HTTP 請求頭 Authorization 中,注意這里的 Authorization 的設置,前面要加上 Bearer 。詳情可以見 Bearer Authentication

// axios 請求攔截器處理請求數據
axios.interceptors.request.use(config => {
 const token = localStorage.getItem('token');
 config.headers.common['Authorization'] = 'Bearer ' + token; // 留意這里的 Authorization
 return config;
})

校驗 token

使用 koa-jwt 中間件進行驗證,方式比較簡單,如下所示

// 錯誤處理
app.use((ctx, next) => {
 return next().catch((err) => {
   if(err.status === 401){
     ctx.status = 401;
    ctx.body = 'Protected resource, use Authorization header to get access\n';
   }else{
     throw err;
   }
 })
})

// 注意:放在路由前面
app.use(koajwt({
 secret: 'Gopal_token'
}).unless({ // 配置白名單
 path: [/\/api\/register/, /\/api\/login/]
}))

// routes
app.use(index.routes(), index.allowedMethods())
app.use(users.routes(), users.allowedMethods())

需要注意的是以下幾點:

  • secret 必須和 sign 時候保持一致

  • 可以通過 unless 配置接口白名單,也就是哪些 URL 可以不用經過校驗,像登陸/注冊都可以不用校驗

  • 校驗的中間件需要放在需要校驗的路由前面,無法對前面的 URL 進行校驗

演示

如果直接訪問需要登錄的接口,則會 401

如何在Node中利用koa2實現一個JWT鑒權功能

先注冊,后登錄,不然會提示用戶名或者密碼錯誤

如何在Node中利用koa2實現一個JWT鑒權功能

登錄后帶上 Authorization ,可以正常訪問,返回 200 以及正確的數據

如何在Node中利用koa2實現一個JWT鑒權功能

看完上述內容,你們對如何在Node中利用koa2實現一個JWT鑒權功能有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

金门县| 苏尼特右旗| 建平县| 年辖:市辖区| 固安县| 马龙县| 来安县| 孟连| 菏泽市| 文安县| 开化县| 罗定市| 尼木县| 辽阳市| 东平县| 江北区| 凉山| 安徽省| 遂昌县| 安溪县| 余干县| 灵山县| 岱山县| 大城县| 玉田县| 阿克苏市| 晋中市| 玉门市| 韶山市| 饶河县| 洛浦县| 新密市| 开鲁县| 西平县| 禄劝| 新乡县| 资阳市| 扎鲁特旗| 荥阳市| 美姑县| SHOW|