node實(shí)現(xiàn)基于token的身份驗(yàn)證

2024-05-06 16:43:40

字體：大中小

供稿：網(wǎng)友

最近研究了下基于 token的身份驗(yàn)證，并將這種機(jī)制整合在個人項(xiàng)目中。現(xiàn)在很多網(wǎng)站的認(rèn)證方式都從傳統(tǒng)的seesion+cookie轉(zhuǎn)向token校驗(yàn)。對比傳統(tǒng)的校驗(yàn)方式，token確實(shí)有更好的擴(kuò)展性與安全性。

傳統(tǒng)的session+cookie身份驗(yàn)證

由于HTTP是無狀態(tài)的，它并不記錄用戶的身份。用戶將賬號與密碼發(fā)送給服務(wù)器后，后臺通過校驗(yàn)，但是并沒有記錄狀態(tài)，于是下一次用戶的請求仍然需要校驗(yàn)身份。為了解決這一問題，需要在服務(wù)端生成一條包含用戶身份的記錄，也就是session，再將這條記錄發(fā)送給用戶并存儲在用戶本地，即cookie。接下來用戶的請求都會帶上這條cookie，若客戶端的cookie與服務(wù)端的session能對應(yīng)上，則說明用戶身份驗(yàn)證通過。

token身份校驗(yàn)

流程大致如下：

第一次請求時，用戶發(fā)送賬號與密碼
后臺校驗(yàn)通過，則會生成一個有時效性的token,再將此token發(fā)送給用戶
用戶獲得token后，將此token存儲在本地，一般存儲在localstorage或cookie
之后的每次請求都會將此token添加在請求頭里，所有需要校驗(yàn)身份的接口都會被校驗(yàn)token，若token解析后的數(shù)據(jù)包含用戶身份信息，則身份驗(yàn)證通過。

對比傳統(tǒng)的校驗(yàn)方式，token校驗(yàn)有如下優(yōu)勢：

在基于token的認(rèn)證，token通過請求頭傳輸，而不是把認(rèn)證信息存儲在session或者cookie中。這意味著無狀態(tài)。你可以從任意一種可以發(fā)送HTTP請求的終端向服務(wù)器發(fā)送請求。
可以避免CSRF攻擊
當(dāng)在應(yīng)用中進(jìn)行 session的讀，寫或者刪除操作時，會有一個文件操作發(fā)生在操作系統(tǒng)的temp 文件夾下，至少在第一次時。假設(shè)有多臺服務(wù)器并且 session 在第一臺服務(wù)上創(chuàng)建。當(dāng)你再次發(fā)送請求并且這個請求落在另一臺服務(wù)器上，session 信息并不存在并且會獲得一個“未認(rèn)證”的響應(yīng)。我知道，你可以通過一個粘性 session 解決這個問題。然而，在基于 token 的認(rèn)證中，這個問題很自然就被解決了。沒有粘性 session 的問題，因?yàn)樵诿總€發(fā)送到服務(wù)器的請求中這個請求的 token 都會被攔截。

下面介紹一下利用 node+jwt(jwt教程)搭建簡易的token身份校驗(yàn)

示例

當(dāng)用戶第一次登錄時，提交賬號與密碼至服務(wù)器，服務(wù)器校驗(yàn)通過，則生成對應(yīng)的token，代碼如下：

const fs = require('fs');const path = require('path');const jwt = require('jsonwebtoken');//生成token的方法function generateToken(data){  let created = Math.floor(Date.now() / 1000);  let cert = fs.readFileSync(path.join(__dirname, '../config/pri.pem'));//私鑰  let token = jwt.sign({    data,    exp: created + 3600 * 24  }, cert, {algorithm: 'RS256'});  return token;}//登錄接口router.post('/oa/login', async (ctx, next) => {  let data = ctx.request.body；  let {name, password} = data;  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];  await db.query(sql, value).then(res => {    if (res && res.length > 0) {      let val = res[0];      let uid = val['uid'];      let token = generateToken({uid});      ctx.body = {        ...Tips[0], data: {token}      }    } else {      ctx.body = Tips[1006];    }  }).catch(e => {    ctx.body = Tips[1002];  });});

用戶通過校驗(yàn)將獲取到的token存放在本地：

store.set('loginedtoken',token);//store為插件

之后客戶端請求需要驗(yàn)證身份的接口，都會將token放在請求頭里傳遞給服務(wù)端：

service.interceptors.request.use(config => {  let params = config.params || {};  let loginedtoken = store.get('loginedtoken');  let time = Date.now();  let {headers} = config;  headers = {...headers,loginedtoken};  params = {...params,_:time};  config = {...config,params,headers};  return config;}, error => {  Promise.reject(error);})

服務(wù)端對所有需要登錄的接口均攔截token并校驗(yàn)合法性。

function verifyToken(token){  let cert = fs.readFileSync(path.join(__dirname, '../config/pub.pem'));//公鑰  try{    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};    let {exp = 0} = result,current = Math.floor(Date.now()/1000);    if(current <= exp){      res = result.data || {};    }  }catch(e){  }  return res;}app.use(async(ctx, next) => {  let {url = ''} = ctx;  if(url.indexOf('/user/') > -1){//需要校驗(yàn)登錄態(tài)    let header = ctx.request.header;    let {loginedtoken} = header;    if (loginedtoken) {      let result = verifyToken(loginedtoken);      let {uid} = result;      if(uid){        ctx.state = {uid};        await next();      }else{        return ctx.body = Tips[1005];      }    } else {      return ctx.body = Tips[1005];    }  }else{    await next();  }});

本示例使用的公鑰與私鑰可自己生成，操作如下：