重学Node.js及其框架(Express, Koa, egg.js) 之 token的使用

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 重学Node.js及其框架(Express, Koa, egg.js) 之 token的使用

总结自 Coderwhy的nodejs课程


查看jwt机制 jwt.io/


认识token


cookie和session的方式有很多的缺点:


  • Cookie会被附加在每个HTTP请求中,所以无形中增加了流量(事实上某些请求是不需要的);


  • Cookie是明文传递的,所以存在安全性的问题;


  • Cookie的大小限制是4KB,对于复杂的需求来说是不够的;


  • 对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookie和session;


  • 对于分布式系统和服务器集群中如何可以保证其他系统也可以正确的解析session?

所以,在目前的前后端分离的开发过程中,使用token来进行身份验证的是最多的情况:


  • token可以翻译为令牌;


  • 也就是在验证了用户账号和密码正确的情况,给用户颁发一个令牌;这个令牌作为后续用户访问一些接口或者资源的凭证;


  • 我们可以根据这个凭证来判断用户是否有权限来访问;

所以token的使用应该分成两个重要的步骤:


  • 生成token:登录的时候,颁发token;


  • 验证token:访问某些资源或者接口时,验证token;


通过jwt来实现token


JWT生成的Token由三部分组成:


  • header


  • alg:采用的加密算法,默认是 HMAC SHA256(HS256),采用同一个密钥进行加密和解密;


  • typ:JWT,固定值,通常都写成JWT即可;会通过base64Url算法进行编码


  • payload


  • 携带的数据,比如我们可以将用户的id和name放到payload中;


  • 默认也会携带iat(issued at),令牌的签发时间;


  • 我们也可以设置过期时间:exp(expiration time);


  • 会通过base64Url算法进行编码


  • signature


  • 设置一个secretKey,通过将前两个的结果合并后进行HMACSHA256(默认编码)的算法;


  • HMACSHA256(base64Url(header)+.+base64Url(payload), secretKey);


  • 如果secretKey暴露是一件非常危险的事情,因为之后就可以模拟颁发token,也可以解密token;注意:前两个字段是通过base64编码的,可以反向解码。但是最后一个字段一般不行。


网络异常,图片无法展示
|


token生成的加密方式


对称加密


显而易见,就是对token加密和解密都使用同一个秘钥。即HS256加密算法


非对称加密


我们对于token的加密和解密使用两个秘钥


  • 私钥(private key):用于发布令牌


  • 公钥(public key):用于验证令牌; 如何来生成公钥和私钥呢?


  • mac电脑直接在终端执行下面命令即可。


  • windows电脑,需要在git bash中执行下面命令。


openssl
    genrsa -out private.key 1024
    rsa -in private.key -pubout -out public.key


在开发中使用token


在真实开发中,我们可以直接使用一个库来完成: jsonwebtoken;


const jwt = require("jsonwebtoken");
    async login (ctx, next) {
        // 登陆成功后取出user
        const { id, username } = ctx.user;
        // 生成token。通过私钥生成token
        const token = jwt.sign({ id, username }, PRIVATE_KEY, {
          // 设置过期时间
          expiresIn: 60 * 60 * 24,
          // 设置编码格式
          algorithm: 'RS256'
        })
        ctx.body = {
          id,
          username,
          token
        }
      }


解析token


// 验证授权,解密
    async function verifyAuth (ctx, next) {
      const authorization = ctx.request.headers.authorization;
      const token = authorization && authorization.replace("Bearer ", "");
        // 通过公钥解析token
        const user = jwt.verify(token, PUBLIC_KEY, {
          algorithms: ["RS256"]
        })
        // 保存user数据,以后有用
        ctx.user = user
        await next()
    }


相关文章
|
1月前
|
缓存 负载均衡 JavaScript
构建高效后端服务:Node.js与Express框架实践
在数字化时代的浪潮中,后端服务的重要性不言而喻。本文将通过深入浅出的方式介绍如何利用Node.js及其强大的Express框架来搭建一个高效的后端服务。我们将从零开始,逐步深入,不仅涉及基础的代码编写,更会探讨如何优化性能和处理高并发场景。无论你是后端新手还是希望提高现有技能的开发者,这篇文章都将为你提供宝贵的知识和启示。
|
1月前
|
JavaScript
使用node.js搭建一个express后端服务器
Express 是 Node.js 的一个库,用于搭建后端服务器。本文将指导你从零开始构建一个简易的 Express 服务器,包括项目初始化、代码编写、服务启动与项目结构优化。通过创建 handler 和 router 文件夹分离路由和处理逻辑,使项目更清晰易维护。最后,通过 Postman 测试确保服务正常运行。
68 1
|
1月前
|
JavaScript 中间件 关系型数据库
构建高效的后端服务:Node.js 与 Express 的实践指南
在后端开发领域,Node.js 与 Express 的组合因其轻量级和高效性而广受欢迎。本文将深入探讨如何利用这一组合构建高性能的后端服务。我们将从 Node.js 的事件驱动和非阻塞 I/O 模型出发,解释其如何优化网络请求处理。接着,通过 Express 框架的简洁 API,展示如何快速搭建 RESTful API。文章还将涉及中间件的使用,以及如何结合 MySQL 数据库进行数据操作。最后,我们将讨论性能优化技巧,包括异步编程模式和缓存策略,以确保服务的稳定性和扩展性。
|
1月前
|
Web App开发 JSON JavaScript
Node.js 中的中间件机制与 Express 应用
Node.js 中的中间件机制与 Express 应用
|
1月前
|
Web App开发 JavaScript 前端开发
探索后端开发:Node.js与Express的完美结合
【10月更文挑战第33天】本文将带领读者深入了解Node.js和Express的强强联手,通过实际案例揭示它们如何简化后端开发流程,提升应用性能。我们将一起探索这两个技术的核心概念、优势以及它们如何共同作用于现代Web开发中。准备好,让我们一起开启这场技术之旅!
49 0
|
1月前
|
Web App开发 JavaScript 前端开发
构建高效后端服务:Node.js与Express框架的实践
【10月更文挑战第33天】在数字化时代的浪潮中,后端服务的效率和可靠性成为企业竞争的关键。本文将深入探讨如何利用Node.js和Express框架构建高效且易于维护的后端服务。通过实践案例和代码示例,我们将揭示这一组合如何简化开发流程、优化性能,并提升用户体验。无论你是初学者还是有经验的开发者,这篇文章都将为你提供宝贵的见解和实用技巧。
|
1月前
|
Web App开发 JavaScript 中间件
构建高效后端服务:Node.js与Express框架的融合之道
【10月更文挑战第31天】在追求快速、灵活和高效的后端开发领域,Node.js与Express框架的结合如同咖啡遇见了奶油——完美融合。本文将带你探索这一组合如何让后端服务搭建变得既轻松又充满乐趣,同时确保你的应用能够以光速运行。
37 0
|
1月前
|
Web App开发 JavaScript 前端开发
2024年5月node.js安装(winmac系统)保姆级教程
本篇博客为2024年5月版Node.js安装教程,适用于Windows和Mac系统。作者是一名熟悉JavaScript与Vue的大一学生,分享了Node.js的基本介绍、下载链接及简单安装步骤。安装完成后,通过终端命令`node -v`验证版本即可确认安装成功。欢迎关注作者,获取更多技术文章。
32 2
2024年5月node.js安装(winmac系统)保姆级教程
|
1月前
|
存储 JavaScript 搜索推荐
Node框架的安装和配置方法
安装 Node 框架是进行 Node 开发的第一步,通过正确的安装和配置,可以为后续的开发工作提供良好的基础。在安装过程中,需要仔细阅读相关文档和提示,遇到问题及时解决,以确保安装顺利完成。
100 2