이번에는 노드+토큰 검증에 대해 알려드리겠습니다. 노드+토큰 검증 시 주의사항은 무엇인가요?
최근에는 토큰 기반 인증을 연구하고 이 메커니즘을 개인 프로젝트에 통합했습니다. 요즘 많은 웹사이트의 인증 방식은 전통적인 시션+쿠키에서 토큰 인증으로 전환되었습니다. 기존 검증 방법에 비해 토큰은 확장성과 보안이 더 좋습니다.
기존 세션+쿠키 인증
HTTP는 상태 비저장이므로 사용자의 신원을 기록하지 않습니다. 사용자가 계정과 비밀번호를 서버에 보낸 후 백그라운드에서 확인을 통과하지만 상태가 기록되지 않으므로 다음 사용자의 요청에서는 여전히 신원 확인이 필요합니다. 이 문제를 해결하기 위해서는 서버 측에서 사용자의 신원이 포함된 기록, 즉 세션을 생성한 후 이 기록을 사용자에게 전송하고 이를 사용자의 로컬 영역, 즉 쿠키에 로컬로 저장해야 합니다. . 다음으로, 사용자의 요청이 이 쿠키를 가져옵니다. 클라이언트의 쿠키와 서버의 세션이 일치할 수 있으면 사용자의 신원 인증이 통과되었음을 의미합니다.
토큰 신원 확인
프로세스는 대략 다음과 같습니다.
첫 번째 요청 시 사용자는 계정과 비밀번호를 보냅니다.
백그라운드 확인이 통과되면 시간 유효 토큰이 생성된 후 이 토큰이 사용자에게 전송됩니다.
사용자가 토큰을 얻은 후 토큰은 일반적으로 localstorage 또는 쿠키에 로컬로 저장됩니다.
각 후속 요청은 이 토큰을 요청 헤더에 추가합니다. 모든 것이 확인되어야 합니다. 모든 ID 인터페이스는 토큰으로 확인됩니다. 토큰으로 구문 분석된 데이터에 사용자 ID 정보가 포함되어 있으면 ID 확인이 통과됩니다.
기존 인증 방법과 비교하여 토큰 인증은 다음과 같은 장점이 있습니다.
토큰 기반 인증에서는 세션이나 쿠키에 인증 정보를 저장하는 대신 요청 헤더를 통해 토큰을 전송합니다. 이는 무국적을 의미합니다. HTTP 요청을 보낼 수 있는 모든 터미널에서 서버에 요청을 보낼 수 있습니다.
CSRF 공격을 피할 수 있습니다
응용 프로그램에서 세션을 읽거나 쓰거나 삭제할 때 적어도 처음으로 운영 체제의 임시 폴더에서 파일 작업이 발생합니다. 여러 서버가 있고 첫 번째 서비스에서 세션이 생성되었다고 가정합니다. 요청을 다시 보내고 해당 요청이 다른 서버에 도달하면 세션 정보가 존재하지 않고 "인증되지 않음" 응답을 받게 됩니다. 알아요. 고정 세션을 사용하면 이 문제를 해결할 수 있습니다. 하지만 토큰 기반 인증에서는 이 문제가 자연스럽게 해결됩니다. 서버로 전송되는 모든 요청에서 요청 토큰이 가로채기 때문에 고정 세션 문제가 없습니다.
다음은 node+jwt(jwt 튜토리얼)를 사용하여 간단한 토큰 신원 확인을 구축하는 방법을 소개합니다
Example
사용자가 처음 로그인할 때 계정과 비밀번호를 서버에 제출합니다. , 서버 확인이 통과되면 해당 토큰을 생성합니다. 코드는 다음과 같습니다.
const fs = require('fs'); const path = require('path'); const jwt = require('jsonwebtoken'); //生成token的方法 function generateToken(data){ let created = Math.floor(Date.now() / 1000); let cert = fs.readFileSync(path.join(dirname, '../config/pri.pem'));//私钥 let token = jwt.sign({ data, exp: created + 3600 * 24 }, cert, {algorithm: 'RS256'}); return token; } //登录接口 router.post('/oa/login', async (ctx, next) => { let data = ctx.request.body; let {name, password} = data; let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)]; await db.query(sql, value).then(res => { if (res && res.length > 0) { let val = res[0]; let uid = val['uid']; let token = generateToken({uid}); ctx.body = { ...Tips[0], data: {token} } } else { ctx.body = Tips[1006]; } }).catch(e => { ctx.body = Tips[1002]; }); });
사용자는 확인을 통해 획득한 토큰을 로컬에 저장합니다.
store.set('loginedtoken',token);//store为插件
클라이언트가 신원 확인이 필요한 인터페이스를 요청한 후 토큰은 요청 헤더에 배치되어 서버에 전달됩니다.
service.interceptors.request.use(config => { let params = config.params || {}; let loginedtoken = store.get('loginedtoken'); let time = Date.now(); let {headers} = config; headers = {...headers,loginedtoken}; params = {...params,_:time}; config = {...config,params,headers}; return config; }, error => { Promise.reject(error); })
서버는 토큰을 가로채서 로그인이 필요한 모든 인터페이스의 적법성을 확인합니다.
function verifyToken(token){ let cert = fs.readFileSync(path.join(dirname, '../config/pub.pem'));//公钥 try{ let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {}; let {exp = 0} = result,current = Math.floor(Date.now()/1000); if(current <= exp){ res = result.data || {}; } }catch(e){ } return res; } app.use(async(ctx, next) => { let {url = ''} = ctx; if(url.indexOf('/user/') > -1){//需要校验登录态 let header = ctx.request.header; let {loginedtoken} = header; if (loginedtoken) { let result = verifyToken(loginedtoken); let {uid} = result; if(uid){ ctx.state = {uid}; await next(); }else{ return ctx.body = Tips[1005]; } } else { return ctx.body = Tips[1005]; } }else{ await next(); } });
이 예제에 사용된 공개 키와 개인 키는 직접 생성할 수 있습니다. 작업은 다음과 같습니다.
명령줄 도구를 열고 openssl을 입력한 후 openssl을 엽니다.
개인 키 생성: genrsa -out rsa_private_key.pem 2048
공개 키 생성: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
노드 백엔드 코드를 보려면 여기를 클릭하세요
프런트 엔드를 보려면 여기를 클릭하세요 code
이 기사의 사례 등을 읽으신 후 방법을 마스터하신 것 같습니다. 얼마나 흥미롭습니까? PHP 중국어 웹사이트의 다른 관련 기사도 주목해 주세요!
추천 자료:
Vue 패키징 단계를 최적화하기 위한 코드 분할에 대한 자세한 설명
위 내용은 node+token은 검증을 구현합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!