1.前言
前面
session
redis
讲的清晰,知道在哪里加密,解密就OK了so
token
只讲加密 解密做个了解更详细的可以查看阮一峰-JSON-Web-Token
2.token
加密
不要忘记
install
const jwt = require('jsonwebtoken') // 加密内容 密钥 过期时间 var token = jwt.sign({ userName: "yzs" }, "小鸡炖蘑菇", { expiresIn:10 }) console.log(token)
3.token
解密
// 解密 var timer = setInterval(function () { jwt.verify(token, "小鸡炖蘑菇", function (err,decode) { if (err) { console.log("密码错误:",err); } else { console.log(decode); clearInterval(timer); } }) },1000)
4. token 起源
基于服务器的验证
- 我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。
2.在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。
5.基于服务器验证方式暴露的一些问题
1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。
2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。
3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。
4.CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。
在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。
token就运用而生了
6. 基于Token的验证原理
基于Token的身份验证是无状态的,我们不将用户信息存在服务器中。这种概念解决了在服务端存储信息时的许多问题。NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录。
7. 基于Token的身份验证的过程如下:
- 用户通过用户名和密码发送请求。
- 服务器端程序验证。
- 服务器端程序返回一个带签名的token 给客户端。
- 客户端储存token,并且每次访问API都携带Token到服务器端的。
- 服务端验证token,校验成功则返回请求数据,校验失败则返回错误码
8.Tokens的优势
1. 无状态、可扩展
在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。tokens自己hold住了用户的验证信息。
2.安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。
token是有时效的,一段时间之后用户需要重新验证。
3. 可扩展性
Tokens能够创建与其它程序共享权限的程序。
4.多平台跨域
9.项目中使用token总结
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
1.前端使用用户名跟密码请求首次登录
2.后服务端收到请求,去验证用户名与密码是否正确
3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个 Token,再把这个 Token 发送给前端
4.前端收到 返回的Token ,把它存储起来,比如放在 Cookie 里或者 Local Storage 里
export interface User { token: string; userInfo: UserInfo | any; companyInfo: CompanyInfo | any; resources?: string[]; } save(key: string, value: any, storageType ?: StorageType) { return this.storageService.put( { pool: key, key: 'chris-app', storageType: StorageType.localStorage }, value ); } this.storageService.save(CACHE_USER_KEY, user)
5.前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;6.前端每次向服务端请求资源的时候需要在请求头里携带服务端签发的Tok
HttpInterceptor => headers = headers.set('token', this.authService.getToken());
6.服务端收到请求,然后去验证前端请求里面带着的 Token。没有或者 token 过期,返回401。如果验证成功,就向前端返回请求的数据。
7.前端得到 401 状态码,重定向到登录页面
HttpInterceptor => 401: '用户登陆状态失效,请重新登陆。'