노드를 사용하여 토큰 기반 인증을 구현하는 방법-JS 튜토리얼-php.cn

집

웹 프론트엔드

JS 튜토리얼

노드를 사용하여 토큰 기반 인증을 구현하는 방법

php中世界最好的语言

May 25, 2018 pm 02:50 PM

node기반으로성취하다

이번에는 노드를 사용하여 토큰 기반 인증을 구현하는 방법과 노드를 사용하여 토큰 기반 인증을 구현할 때 어떤 주의 사항이 있는지 살펴보겠습니다.

최근에는 토큰 기반 인증을 연구하고 이 메커니즘을 개인 프로젝트에 통합했습니다. 요즘 많은 웹사이트의 인증 방식은 전통적인 시션+쿠키에서 토큰 인증으로 전환되었습니다. 기존 검증 방법에 비해 토큰은 확장성과 보안이 더 좋습니다.

기존 session+쿠키 인증

HTTP는 상태 비저장이므로 사용자의 신원을 기록하지 않습니다. 사용자가 계정과 비밀번호를 서버에 보낸 후 백그라운드에서 확인을 통과하지만 상태가 기록되지 않으므로 다음 사용자의 요청에서는 여전히 신원 확인이 필요합니다. 이 문제를 해결하기 위해서는 서버 측에서 사용자의 신원이 포함된 기록, 즉 세션을 생성한 후 이 기록을 사용자에게 전송하고 이를 사용자의 로컬 영역, 즉 쿠키에 로컬로 저장해야 합니다. . 다음으로, 사용자의 요청이 이 쿠키를 가져옵니다. 클라이언트의 쿠키와 서버의 세션이 일치할 수 있으면 사용자의 신원 인증이 통과되었음을 의미합니다.

토큰 신원 확인

프로세스는 대략 다음과 같습니다.

첫 번째 요청 시 사용자는 계정과 비밀번호를 보냅니다.
백그라운드 확인이 통과되면 시간 유효 토큰이 생성된 후 이 토큰이 사용자에게 전송됩니다.
사용자가 토큰을 얻은 후 토큰은 일반적으로 localstorage 또는 쿠키에 로컬로 저장됩니다.
각 후속 요청은 이 토큰을 요청 헤더에 추가합니다. 모든 것이 확인되어야 합니다. 모든 ID 인터페이스는 토큰으로 확인됩니다. 토큰으로 구문 분석된 데이터에 사용자 ID 정보가 포함되어 있으면 ID 확인이 통과됩니다.

기존 인증 방법과 비교하여 토큰 인증은 다음과 같은 장점이 있습니다.

토큰 기반 인증에서는 세션이나 쿠키에 인증 정보를 저장하는 대신 요청 헤더를 통해 토큰을 전송합니다. 이는 무국적을 의미합니다. HTTP 요청을 보낼 수 있는 모든 터미널에서 서버에 요청을 보낼 수 있습니다.
CSRF 공격을 피할 수 있습니다
응용 프로그램에서 세션을 읽거나 쓰거나 삭제할 때 적어도 처음으로 운영 체제의 임시 폴더에서 파일 작업이 발생합니다. 여러 서버가 있고 첫 번째 서비스에서 세션이 생성되었다고 가정합니다. 요청을 다시 보내고 해당 요청이 다른 서버에 도달하면 세션 정보가 존재하지 않고 "인증되지 않음" 응답을 받게 됩니다. 알아요. 고정 세션을 사용하면 이 문제를 해결할 수 있습니다. 하지만 토큰 기반 인증에서는 이 문제가 자연스럽게 해결됩니다. 서버로 전송되는 모든 요청에서 요청 토큰이 가로채기 때문에 고정 세션 문제가 없습니다.

다음은 node+jwt(jwt 튜토리얼)를 사용하여 간단한 토큰 신원 확인을 구축하는 방법을 소개합니다

Example

사용자가 처음 로그인할 때 계정과 비밀번호를 서버에 제출합니다. , 서버 확인이 통과되면 해당 토큰을 생성합니다. 코드는 다음과 같습니다.

const fs = require('fs');
const path = require('path');
const jwt = require('jsonwebtoken');
//生成token的方法
function generateToken(data){
  let created = Math.floor(Date.now() / 1000);
  let cert = fs.readFileSync(path.join(dirname, '../config/pri.pem'));//私钥
  let token = jwt.sign({
    data,
    exp: created + 3600 * 24
  }, cert, {algorithm: 'RS256'});
  return token;
}
//登录接口
router.post('/oa/login', async (ctx, next) => {
  let data = ctx.request.body；
  let {name, password} = data;
  let sql = 'SELECT uid FROM t_user WHERE name=? and password=? and is_delete=0', value = [name, md5(password)];
  await db.query(sql, value).then(res => {
    if (res && res.length > 0) {
      let val = res[0];
      let uid = val['uid'];
      let token = generateToken({uid});
      ctx.body = {
        ...Tips[0], data: {token}
      }
    } else {
      ctx.body = Tips[1006];
    }
  }).catch(e => {
    ctx.body = Tips[1002];
  });
});

사용자는 확인을 통해 획득한 토큰을 로컬에 저장합니다.

store.set('loginedtoken',token);//store为插件

클라이언트가 신원 확인이 필요한 인터페이스를 요청한 후 토큰은 요청 헤더에 배치되어 서버에 전달됩니다.

service.interceptors.request.use(config => {
  let params = config.params || {};
  let loginedtoken = store.get('loginedtoken');
  let time = Date.now();
  let {headers} = config;
  headers = {...headers,loginedtoken};
  params = {...params,_:time};
  config = {...config,params,headers};
  return config;
}, error => {
  Promise.reject(error);
})

서버는 토큰을 가로채서 로그인이 필요한 모든 인터페이스의 적법성을 확인합니다.

function verifyToken(token){
  let cert = fs.readFileSync(path.join(dirname, '../config/pub.pem'));//公钥
  try{
    let result = jwt.verify(token, cert, {algorithms: ['RS256']}) || {};
    let {exp = 0} = result,current = Math.floor(Date.now()/1000);
    if(current  {
  let {url = ''} = ctx;
  if(url.indexOf('/user/') > -1){//需要校验登录态
    let header = ctx.request.header;
    let {loginedtoken} = header;
    if (loginedtoken) {
      let result = verifyToken(loginedtoken);
      let {uid} = result;
      if(uid){
        ctx.state = {uid};
        await next();
      }else{
        return ctx.body = Tips[1005];
      }
    } else {
      return ctx.body = Tips[1005];
    }
  }else{
    await next();
  }
});

이 예제에 사용된 공개 키와 개인 키는 직접 생성할 수 있습니다. 작업은 다음과 같습니다.

명령줄 도구를 열고 openssl을 입력한 후 openssl을 엽니다.
개인 키 생성: genrsa -out rsa_private_key.pem 2048
공개 키 생성: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

이 기사의 사례를 읽은 후 방법을 마스터했다고 생각합니다. , PHP 중국어 웹사이트의 다른 관련 기사도 주목해주세요!

관련 기사

JavaScript 및 웹 : 핵심 기능 및 사용 사례Apr 18, 2025 am 12:19 AM

웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.

JavaScript 엔진 이해 : 구현 세부 사항Apr 17, 2025 am 12:05 AM

보다 효율적인 코드를 작성하고 성능 병목 현상 및 최적화 전략을 이해하는 데 도움이되기 때문에 JavaScript 엔진이 내부적으로 작동하는 방식을 이해하는 것은 개발자에게 중요합니다. 1) 엔진의 워크 플로에는 구문 분석, 컴파일 및 실행; 2) 실행 프로세스 중에 엔진은 인라인 캐시 및 숨겨진 클래스와 같은 동적 최적화를 수행합니다. 3) 모범 사례에는 글로벌 변수를 피하고 루프 최적화, Const 및 Lets 사용 및 과도한 폐쇄 사용을 피하는 것이 포함됩니다.

Python vs. JavaScript : 학습 곡선 및 사용 편의성Apr 16, 2025 am 12:12 AM

Python은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.

Python vs. JavaScript : 커뮤니티, 라이브러리 및 리소스Apr 15, 2025 am 12:16 AM

Python과 JavaScript는 커뮤니티, 라이브러리 및 리소스 측면에서 고유 한 장점과 단점이 있습니다. 1) Python 커뮤니티는 친절하고 초보자에게 적합하지만 프론트 엔드 개발 리소스는 JavaScript만큼 풍부하지 않습니다. 2) Python은 데이터 과학 및 기계 학습 라이브러리에서 강력하며 JavaScript는 프론트 엔드 개발 라이브러리 및 프레임 워크에서 더 좋습니다. 3) 둘 다 풍부한 학습 리소스를 가지고 있지만 Python은 공식 문서로 시작하는 데 적합하지만 JavaScript는 MDNWebDocs에서 더 좋습니다. 선택은 프로젝트 요구와 개인적인 이익을 기반으로해야합니다.

C/C에서 JavaScript까지 : 모든 것이 어떻게 작동하는지Apr 14, 2025 am 12:05 AM

C/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.

JavaScript 엔진 : 구현 비교Apr 13, 2025 am 12:05 AM

각각의 엔진의 구현 원리 및 최적화 전략이 다르기 때문에 JavaScript 엔진은 JavaScript 코드를 구문 분석하고 실행할 때 다른 영향을 미칩니다. 1. 어휘 분석 : 소스 코드를 어휘 단위로 변환합니다. 2. 문법 분석 : 추상 구문 트리를 생성합니다. 3. 최적화 및 컴파일 : JIT 컴파일러를 통해 기계 코드를 생성합니다. 4. 실행 : 기계 코드를 실행하십시오. V8 엔진은 즉각적인 컴파일 및 숨겨진 클래스를 통해 최적화하여 Spidermonkey는 유형 추론 시스템을 사용하여 동일한 코드에서 성능이 다른 성능을 제공합니다.

브라우저 너머 : 실제 세계의 JavaScriptApr 12, 2025 am 12:06 AM

실제 세계에서 JavaScript의 응용 프로그램에는 서버 측 프로그래밍, 모바일 애플리케이션 개발 및 사물 인터넷 제어가 포함됩니다. 1. 서버 측 프로그래밍은 Node.js를 통해 실현되며 동시 요청 처리에 적합합니다. 2. 모바일 애플리케이션 개발은 재교육을 통해 수행되며 크로스 플랫폼 배포를 지원합니다. 3. Johnny-Five 라이브러리를 통한 IoT 장치 제어에 사용되며 하드웨어 상호 작용에 적합합니다.

Next.js (백엔드 통합)로 멀티 테넌트 SAAS 애플리케이션 구축Apr 11, 2025 am 08:23 AM

일상적인 기술 도구를 사용하여 기능적 다중 테넌트 SaaS 응용 프로그램 (Edtech 앱)을 구축했으며 동일한 작업을 수행 할 수 있습니다. 먼저, 다중 테넌트 SaaS 응용 프로그램은 무엇입니까? 멀티 테넌트 SAAS 응용 프로그램은 노래에서 여러 고객에게 서비스를 제공 할 수 있습니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.