AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Koa 鉴权实战 - Token

2022-05-26 310
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: Koa 鉴权实战 - Token

Token 验证

session 不足:

  • 服务端有状态需要维护
  • 依赖 cookie ,APP 或 跨域处理复杂

JWT (JSON Web Token)

Bearer token 组成:Header、payload(载荷)、Signature(签名)
Header.Payload.Signature

  • Header:JSON 对象,描述 JWT 的元数据,用 Base64URL 算法转成字符串

    {
  "alg": "HS256", // 签名算法,默认是 HMAC SHA256(写成 HS256)
  "typ": "JWT" // Token 类型
}

  • Payload: JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用,也可以定义私有字段。JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。使用 Base64URL 算法转成字符串

    字段名称 说明
    iss (issuer) 签发人
    exp (expiration time) 过期时间
    sub (subject) 主题
    aud (audience) 受众
    nbf (Not Before) 生效时间
    iat (Issued At) 签发时间
    jti (JWT ID) 编号
  • Signature:对前两部分的签名,防止数据篡改。签名密钥只有服务器知道

JWT 特点

  • JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次
  • JWT 不加密的情况下,不能将秘密数据写入 JWT
  • JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数
  • JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑
  • JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
  • 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输

JWT 生效过程梳理

// jwt.js
const jsonwebtoken = require('jsonwebtoken');

// 签名密钥
const secret = 'hello';

// 数据
const user = {
  username: 'cell',
  password: 'pwd',
};

// 计算token
const token = jsonwebtoken.sign({
  data: user,
  exp: Math.floor(Date.now() / 1000) + (60 * 60),
}, secret);

console.log(token);
// eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhIjp7InVzZXJuYW1lIjoiY2VsbCIsInBhc3N3b3JkIjoicHdkIn0sImV4cCI6MTYxNTAzNDk3OCwiaWF0IjoxNjE1MDMxMzc4fQ.iZAHDN6a8eTBcB6a6reeNLgDD-tI9g7CBvfBh9b5Ivs

// 解算 验证
console.log('解码', jsonwebtoken.verify(token, secret));
// 解码 {
//   data: { username: 'cell', password: 'pwd' },
//   exp: 1615035042,
//   iat: 1615031442
// }

简单 token 使用流程

前端页面 index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Document</title>
  <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js">
  </script>
  <script src="https://unpkg.com/axios/dist/axios.min.js"></script>
</head>
<body>
  <div id="app">
    <div>
      <input v-model="username">
      <input v-model="password">
    </div>
    <div>
      <button @click="login">Login</button>
      <button @click="logout">Logout</button>
      <button @click="getUser">Get User</button>
    </div>
    <div>
      <button @click="logs=[]">Clear Log</button>
    </div>
    <ul>
      <li v-for="(log, idx) in logs" :key="idx">{{log}}</li>
    </ul>
  </div>
  <script>
    axios.interceptors.request.use(config => {
      const token = window.localStorage.getItem('token');
      if (token) {
        // 如果 token 存在,在每个 HTTP header 都加上 token
        // Bearer 是 JWT 的认证头部信息
        config.headers.common['Authorization'] = `Bearer ${token}`;
      }
      return config;
    }, err => {
      return Promise.reject(err);
    });
    axios.interceptors.response.use(res => {
      app.logs.push(JSON.stringify(res.data));
      return res;
    }, err => {
      app.logs.push(JSON.stringify(err.data));
      return Promise.reject(err);
    });
    const app = new Vue({
      el: '#app',
      data: {
        username: 'cell',
        password: 'pwd',
        logs: [],
      },
      methods: {
        async login() {
          const res = await axios.post('/users/login-token', {
            username: this.username,
            password: this.password
          });
          localStorage.setItem('token', res.data.token);
        },
        async logout() {
          localStorage.removeItem('token');
        },
        async getUser() {
          await axios.get('/users/getUser-token');
        }
      }
    });
  </script>
</body>
</html>

服务端 index.js

const Koa = require('koa');
const router = require('koa-router')();

const jwt = require('jsonwebtoken');
const jwtAuth = require('koa-jwt');
const bodyParser = require('koa-bodyparser');
const static = require('koa-static');

const secret = 'my-secret';
const app = new Koa();
app.keys = ['my secret'];

app.use(static(__dirname + '/'));
app.use(bodyParser());

router.post('/users/login-token', async ctx => {
  const { body } = ctx.request;
  const userinfo = body.username;
  ctx.body = {
    message: 'Login Successful',
    user: userinfo,
    // 生成 token 返回给客户端
    token: jwt.sign({
      data: userinfo,
      exp: Math.floor(Date.now() / 1000) + 60 * 60, // 一小时后过期
    }, secret)
  };
});

router.get('/users/getUser-token',
  jwtAuth({
    secret
  }),
  async ctx => {
    // 验证通过
    console.log(ctx.state.user);
    // 获取 信息
    ctx.body = {
      message: 'Get Data Successful',
      userinfo: ctx.state.user.data
    };
});

app.use(router.routes());
app.use(router.allowedMethods());
app.listen(3000);
文章标签:
密钥管理服务
前端开发
数据安全/隐私保护
算法
数据格式
数据库
JSON
1759666346247123
目录
相关文章
游客cmz32nke7bpic
|
数据库
koa使用Sequelize操作数据库(增,删、改等)
调用 build 方法后对象只存在于内存中,需要进一步调用 save 方法才会保存到数据库中。
游客cmz32nke7bpic
330 0
讓丄帝愛伱
|
Shell 网络安全 开发工具
配置gitlab/github/gitee多个ssh-key
配置gitlab/github/gitee多个ssh-key
讓丄帝愛伱
646 1
配置gitlab/github/gitee多个ssh-key
沉默术士
|
测试技术 UED 前端开发
12个最好的免费网站速度和性能测试工具
沉默术士
6929 0
huc_逆天
|
运维 前端开发 架构师
一文搞定如何画出更加优秀的架构图
一文搞定如何画出更加优秀的架构图
huc_逆天
1191 0
一文搞定如何画出更加优秀的架构图
Matlab科研工作室
|
机器学习/深度学习 传感器 算法
【装箱问题】基于遗传算法求解三维装箱问题附matlab代码
【装箱问题】基于遗传算法求解三维装箱问题附matlab代码
Matlab科研工作室
703 0
Matlab科研工作室
|
机器学习/深度学习 传感器 算法
【二维装箱】基于BL算法求解矩形地块二维装箱放置优化问题附matlab代码
【二维装箱】基于BL算法求解矩形地块二维装箱放置优化问题附matlab代码
Matlab科研工作室
492 1
huc_逆天
|
运维 前端开发 架构师
一文搞定如何画出更加优秀的架构图
优秀的架构图是你值得研究输出的价值品
huc_逆天
2815 0
一文搞定如何画出更加优秀的架构图
n7lskg6uuowc2
|
8月前
|
JavaScript
一篇文章讲明白js鼠标侧键监听(也有左键,中键和右键)
一篇文章讲明白js鼠标侧键监听(也有左键,中键和右键)
n7lskg6uuowc2
333 0
嘘~!
|
9月前
|
开发框架 移动开发 前端开发
Uni-App常用事件
Uni-App常用事件
嘘~!
308 2
佀无极
|
JavaScript 数据建模 应用服务中间件
pm2管理多个nodejs项目nginx反向代理多域名https协议ssl证书
pm2管理多个nodejs项目nginx反向代理多域名https协议ssl证书
佀无极
3108 0

热门文章

最新文章

  • 1
    讨论阶段性给予客户交付物所引发的风险问题
  • 2
    finally关键字小复习
  • 3
    静态变量和成员变量的区别 && 成员变量和局部变量的区别
  • 4
    我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
  • 5
    js获取 日期 星期 时间
  • 6
    Javascript事件集
  • 7
    Ruby中求50之内的素数方法
  • 8
    Unity应用架构设计(3)——构建View和ViewModel的生命周期
  • 9
    北大资源重磅来宜--宜昌未来商业中心将诞生
  • 10
    【android基础】Android中四大组件
  • 1
    Step-Video-T2V:碾压Sora?国产开源巨兽Step-Video-T2V杀到:300亿参数一键生成204帧视频
    62
  • 2
    Unsloth:学生党福音!开源神器让大模型训练提速10倍:单GPU跑Llama3,5小时变30分钟
    89
  • 3
    X-R1:3090也能训7B模型!开源框架X-R1把训练成本打下来了:10美元训出企业级LLM
    39
  • 4
    Cline:29.7K Star!一文详解VSCode最强开源AI编程搭子:一键生成代码+自动跑终端+操控浏览器...
    63
  • 5
    【01】噩梦终结flutter配安卓android鸿蒙harmonyOS 以及next调试环境配鸿蒙和ios真机调试环境-flutter项目安卓环境配置-gradle-agp-ndkVersion模拟器运行真机测试环境-本地环境搭建-如何快速搭建android本地运行环境-优雅草卓伊凡-很多人在这步就被难倒了
    14
  • 6
    新一代 Cron-Job 分布式任务调度平台 正式发布!
    35
  • 7
    菜鸟之路Day15一一IO流(一)
    19
  • 8
    《通义灵码2.0体验感受》
    32
  • 9
    分库分表—2.详细介绍一
    15
  • 10
    Dataphin离线数据开发规范
    24

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云oss简介和如何对接使用