node+token은 검증을 구현합니다.-JS 튜토리얼-php.cn

집

웹 프론트엔드

JS 튜토리얼

node+token은 검증을 구현합니다.

php中世界最好的语言

Apr 28, 2018 pm 04:27 PM

성취하다확인하다

이번에는 노드+토큰 검증에 대해 알려드리겠습니다. 노드+토큰 검증 시 주의사항은 무엇인가요?

최근에는 토큰 기반 인증을 연구하고 이 메커니즘을 개인 프로젝트에 통합했습니다. 요즘 많은 웹사이트의 인증 방식은 전통적인 시션+쿠키에서 토큰 인증으로 전환되었습니다. 기존 검증 방법에 비해 토큰은 확장성과 보안이 더 좋습니다.

기존 세션+쿠키 인증

HTTP는 상태 비저장이므로 사용자의 신원을 기록하지 않습니다. 사용자가 계정과 비밀번호를 서버에 보낸 후 백그라운드에서 확인을 통과하지만 상태가 기록되지 않으므로 다음 사용자의 요청에서는 여전히 신원 확인이 필요합니다. 이 문제를 해결하기 위해서는 서버 측에서 사용자의 신원이 포함된 기록, 즉 세션을 생성한 후 이 기록을 사용자에게 전송하고 이를 사용자의 로컬 영역, 즉 쿠키에 로컬로 저장해야 합니다. . 다음으로, 사용자의 요청이 이 쿠키를 가져옵니다. 클라이언트의 쿠키와 서버의 세션이 일치할 수 있으면 사용자의 신원 인증이 통과되었음을 의미합니다.

토큰 신원 확인

프로세스는 대략 다음과 같습니다.

첫 번째 요청 시 사용자는 계정과 비밀번호를 보냅니다.
백그라운드 확인이 통과되면 시간 유효 토큰이 생성된 후 이 토큰이 사용자에게 전송됩니다.
사용자가 토큰을 얻은 후 토큰은 일반적으로 localstorage 또는 쿠키에 로컬로 저장됩니다.
각 후속 요청은 이 토큰을 요청 헤더에 추가합니다. 모든 것이 확인되어야 합니다. 모든 ID 인터페이스는 토큰으로 확인됩니다. 토큰으로 구문 분석된 데이터에 사용자 ID 정보가 포함되어 있으면 ID 확인이 통과됩니다.

기존 인증 방법과 비교하여 토큰 인증은 다음과 같은 장점이 있습니다.

토큰 기반 인증에서는 세션이나 쿠키에 인증 정보를 저장하는 대신 요청 헤더를 통해 토큰을 전송합니다. 이는 무국적을 의미합니다. HTTP 요청을 보낼 수 있는 모든 터미널에서 서버에 요청을 보낼 수 있습니다.
CSRF 공격을 피할 수 있습니다
응용 프로그램에서 세션을 읽거나 쓰거나 삭제할 때 적어도 처음으로 운영 체제의 임시 폴더에서 파일 작업이 발생합니다. 여러 서버가 있고 첫 번째 서비스에서 세션이 생성되었다고 가정합니다. 요청을 다시 보내고 해당 요청이 다른 서버에 도달하면 세션 정보가 존재하지 않고 "인증되지 않음" 응답을 받게 됩니다. 알아요. 고정 세션을 사용하면 이 문제를 해결할 수 있습니다. 하지만 토큰 기반 인증에서는 이 문제가 자연스럽게 해결됩니다. 서버로 전송되는 모든 요청에서 요청 토큰이 가로채기 때문에 고정 세션 문제가 없습니다.

다음은 node+jwt(jwt 튜토리얼)를 사용하여 간단한 토큰 신원 확인을 구축하는 방법을 소개합니다

Example

사용자가 처음 로그인할 때 계정과 비밀번호를 서버에 제출합니다. , 서버 확인이 통과되면 해당 토큰을 생성합니다. 코드는 다음과 같습니다.

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
  let created = Math.floor(Date.now() / 1000);
  let cert = fs.readFileSync(path.join(dirname, '../config/pri.pem'));//私钥
  let token = jwt.sign({
    data,
    exp: created + 3600 * 24
  }, cert, {algorithm: 'RS256'});
  return token;
}
//登录接口
router.post('/oa/login', async (ctx, next) => {
  let data = ctx.request.body；
  let {name, password} = data;
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  await db.query(sql, value).then(res => {
    if (res && res.length > 0) {
      let val = res[0];
      let uid = val['uid'];
      let token = generateToken({uid});
      ctx.body = {
        ...Tips[0], data: {token}
      }
    } else {
      ctx.body = Tips[1006];
    }
  }).catch(e => {
    ctx.body = Tips[1002];
  });
});

사용자는 확인을 통해 획득한 토큰을 로컬에 저장합니다.

store.set('loginedtoken',token);//store为插件

클라이언트가 신원 확인이 필요한 인터페이스를 요청한 후 토큰은 요청 헤더에 배치되어 서버에 전달됩니다.

service.interceptors.request.use(config => {
  let params = config.params || {};
  let loginedtoken = store.get('loginedtoken');
  let time = Date.now();
  let {headers} = config;
  headers = {...headers,loginedtoken};
  params = {...params,_:time};
  config = {...config,params,headers};
  return config;
}, error => {
  Promise.reject(error);
})

서버는 토큰을 가로채서 로그인이 필요한 모든 인터페이스의 적법성을 확인합니다.

function verifyToken(token){
  let cert = fs.readFileSync(path.join(dirname, '../config/pub.pem'));//公钥
  try{
    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
    let {exp = 0} = result,current = Math.floor(Date.now()/1000);
    if(current  {
  let {url = ''} = ctx;
  if(url.indexOf('/user/') > -1){//需要校验登录态
    let header = ctx.request.header;
    let {loginedtoken} = header;
    if (loginedtoken) {
      let result = verifyToken(loginedtoken);
      let {uid} = result;
      if(uid){
        ctx.state = {uid};
        await next();
      }else{
        return ctx.body = Tips[1005];
      }
    } else {
      return ctx.body = Tips[1005];
    }
  }else{
    await next();
  }
});

이 예제에 사용된 공개 키와 개인 키는 직접 생성할 수 있습니다. 작업은 다음과 같습니다.

명령줄 도구를 열고 openssl을 입력한 후 openssl을 엽니다.
개인 키 생성: genrsa -out rsa_private_key.pem 2048
공개 키 생성: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

노드 백엔드 코드를 보려면 여기를 클릭하세요
프런트 엔드를 보려면 여기를 클릭하세요 code

이 기사의 사례 등을 읽으신 후 방법을 마스터하신 것 같습니다. 얼마나 흥미롭습니까? PHP 중국어 웹사이트의 다른 관련 기사도 주목해 주세요!

관련 기사

JavaScript 엔진 : 구현 비교Apr 13, 2025 am 12:05 AM

각각의 엔진의 구현 원리 및 최적화 전략이 다르기 때문에 JavaScript 엔진은 JavaScript 코드를 구문 분석하고 실행할 때 다른 영향을 미칩니다. 1. 어휘 분석 : 소스 코드를 어휘 단위로 변환합니다. 2. 문법 분석 : 추상 구문 트리를 생성합니다. 3. 최적화 및 컴파일 : JIT 컴파일러를 통해 기계 코드를 생성합니다. 4. 실행 : 기계 코드를 실행하십시오. V8 엔진은 즉각적인 컴파일 및 숨겨진 클래스를 통해 최적화하여 Spidermonkey는 유형 추론 시스템을 사용하여 동일한 코드에서 성능이 다른 성능을 제공합니다.

브라우저 너머 : 실제 세계의 JavaScriptApr 12, 2025 am 12:06 AM

실제 세계에서 JavaScript의 응용 프로그램에는 서버 측 프로그래밍, 모바일 애플리케이션 개발 및 사물 인터넷 제어가 포함됩니다. 1. 서버 측 프로그래밍은 Node.js를 통해 실현되며 동시 요청 처리에 적합합니다. 2. 모바일 애플리케이션 개발은 재교육을 통해 수행되며 크로스 플랫폼 배포를 지원합니다. 3. Johnny-Five 라이브러리를 통한 IoT 장치 제어에 사용되며 하드웨어 상호 작용에 적합합니다.

Next.js (백엔드 통합)로 멀티 테넌트 SAAS 애플리케이션 구축Apr 11, 2025 am 08:23 AM

일상적인 기술 도구를 사용하여 기능적 다중 테넌트 SaaS 응용 프로그램 (Edtech 앱)을 구축했으며 동일한 작업을 수행 할 수 있습니다. 먼저, 다중 테넌트 SaaS 응용 프로그램은 무엇입니까? 멀티 테넌트 SAAS 응용 프로그램은 노래에서 여러 고객에게 서비스를 제공 할 수 있습니다.

Next.js (Frontend Integration)를 사용하여 멀티 테넌트 SaaS 응용 프로그램을 구축하는 방법Apr 11, 2025 am 08:22 AM

이 기사에서는 Contrim에 의해 확보 된 백엔드와의 프론트 엔드 통합을 보여 주며 Next.js를 사용하여 기능적인 Edtech SaaS 응용 프로그램을 구축합니다. Frontend는 UI 가시성을 제어하기 위해 사용자 권한을 가져오고 API가 역할 기반을 준수하도록합니다.

JavaScript : 웹 언어의 다양성 탐색Apr 11, 2025 am 12:01 AM

JavaScript는 현대 웹 개발의 핵심 언어이며 다양성과 유연성에 널리 사용됩니다. 1) 프론트 엔드 개발 : DOM 운영 및 최신 프레임 워크 (예 : React, Vue.js, Angular)를 통해 동적 웹 페이지 및 단일 페이지 응용 프로그램을 구축합니다. 2) 서버 측 개발 : Node.js는 비 차단 I/O 모델을 사용하여 높은 동시성 및 실시간 응용 프로그램을 처리합니다. 3) 모바일 및 데스크탑 애플리케이션 개발 : 크로스 플랫폼 개발은 개발 효율을 향상시키기 위해 반응 및 전자를 통해 실현됩니다.

JavaScript의 진화 : 현재 동향과 미래 전망Apr 10, 2025 am 09:33 AM

JavaScript의 최신 트렌드에는 Typescript의 Rise, 현대 프레임 워크 및 라이브러리의 인기 및 WebAssembly의 적용이 포함됩니다. 향후 전망은보다 강력한 유형 시스템, 서버 측 JavaScript 개발, 인공 지능 및 기계 학습의 확장, IoT 및 Edge 컴퓨팅의 잠재력을 포함합니다.

Demystifying JavaScript : 그것이하는 일과 중요한 이유Apr 09, 2025 am 12:07 AM

JavaScript는 현대 웹 개발의 초석이며 주요 기능에는 이벤트 중심 프로그래밍, 동적 컨텐츠 생성 및 비동기 프로그래밍이 포함됩니다. 1) 이벤트 중심 프로그래밍을 사용하면 사용자 작업에 따라 웹 페이지가 동적으로 변경 될 수 있습니다. 2) 동적 컨텐츠 생성을 사용하면 조건에 따라 페이지 컨텐츠를 조정할 수 있습니다. 3) 비동기 프로그래밍은 사용자 인터페이스가 차단되지 않도록합니다. JavaScript는 웹 상호 작용, 단일 페이지 응용 프로그램 및 서버 측 개발에 널리 사용되며 사용자 경험 및 크로스 플랫폼 개발의 유연성을 크게 향상시킵니다.

Python 또는 JavaScript가 더 좋습니까?Apr 06, 2025 am 12:14 AM

Python은 데이터 과학 및 기계 학습에 더 적합한 반면 JavaScript는 프론트 엔드 및 풀 스택 개발에 더 적합합니다. 1. Python은 간결한 구문 및 풍부한 라이브러리 생태계로 유명하며 데이터 분석 및 웹 개발에 적합합니다. 2. JavaScript는 프론트 엔드 개발의 핵심입니다. Node.js는 서버 측 프로그래밍을 지원하며 풀 스택 개발에 적합합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.

WebStorm Mac 버전

유용한 JavaScript 개발 도구

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.