專案中凡是涉及到用戶登錄注冊的都需要一個登錄態來驗證用戶的登錄狀態,常用的登錄臺無外乎是token、session啊這些標識,這里我使用的是token欄位,token一般會包含用戶的個人資訊,如:賬號、賬號id、用戶名等等,更為安全的是加入一個自定義的鹽(salt)一起加密,防止用戶資訊泄漏,下面就一起來使用一下:
說到token,肯定會想到后端是怎么知道前端給我的token是不是我傳給他的有效值呢?就是說后端需要有個值去跟前端傳過來的token進行比較才知道合法性,所以后端在生成token的同時自己也需要將這個生成的token存下來備用,我這里選用的redis,它是一個資料庫,以鍵值對的形式存盤,這樣我就可以將生成的token存盤下來了,至于redis的安裝和部署這里就不累贅了,這里直接將使用,
在專案根目錄下新建一個redis檔案夾,其下新建一個redis.js檔案,
//redis.js
const Redis = require('ioredis')//匯入模塊
const redis = {
port: 6379, // Redis port
host: '127.0.0.1', // Redis host
prefix: '***', //存諸前綴
ttl: 60 * 60 * 24 * 7 * 1000, //過期時間
family: 4,
db: 0
}
const redisClient = new Redis(redis)
//匯出備用
module.exports = redisClient
這樣redis就可以使用了,
本文使用jsonwebtoken進行加密和解密,
因為加密和解密是很多介面都需要用的東西,所以我將這些方法寫到公共的部分去,
utils檔案下建一個common.js,用來存放公共的方法,
//common.js
const secret = require('./secret')//匯入自定義的鹽
const jwt = require('jsonwebtoken')//匯入jsonwebtoken
const verify = util.promisify(jwt.verify) // token解密
const common = {//定義一個物件
//加密
//后端生成唯一的key
/*
* paylod:包含來用戶的資訊
* secret.secret 自定義的鹽(salt)
* expiresIn 設定這個token的有效期
*/
//jwt.sign是jsonwebtoken模塊的一個方法,可以將傳入的資訊加密
getToken(paylod, expiresIn) {
return jwt.sign(paylod, secret.secret, expiresIn)
},
//解密
//根據收到的token獲取用戶資訊
getUserInfo(token) {
return verify(token, secret.secret)
},
}
//匯出這個物件給外部使用
module.exports=common
新建一個secret.js檔案用來存放自定義的資訊
?? 這里建議鹽最好亂寫 寫得越亂越好,各種字符都加上,并亂序寫,
加密
我們在用戶登錄成功的時候將用戶資訊加密,所以我在我的管理員登錄介面那寫,
我的在routes檔案下的admin.js檔案
//admin.js
const router = require('koa-router')()
const api = require('../controllers/api')
const redisClient = require('../redis/redis.js')
const common = require('../util/comon')
router.prefix('/admin')
//管理員登錄
router.post('/userLogin', async (ctx, next) => {
/*寫你的介面邏輯*/
//定義一個用戶資訊物件
const paylod = {
name: '登錄用戶的用戶名',
userid: '登錄用戶的id',//登錄時可查表查拿到用戶id
author: '13414851033@163.com',
type:'***',
timestamp: new Date()//加個時間戳保證加密后token的唯一性
}
/*核心代碼*/
// 呼叫上面公共的token加密方法(注:這里是沒有傳鹽進去的,我是直接在common檔案引入來鹽)
// expiresIn設定token的有效期是7天
const token = await common.getToken(paylod, { expiresIn: '7 days' })
//每次登錄之前先清除掉所有的有關此用戶的key(根據用戶id)
let preToken = await redisClient.get(result.userid)
//這個preToken就是當初登錄時redis存下來的key
await redisClient.del(preToken)
//用token作為key、自定義的token前綴+token作為值 傳key給前端作為校驗
await redisClient.set(token, secret.identif + token)
//再生成一對鍵值對 用來記錄是屬于哪個用戶的token 用戶id作為key 傳給前端的token(上一條鍵值對的key)作為值
await redisClient.set(result.userid,token)
ctx.body = {
status: 200,
code: 200,
message: '登錄成功',
data: result,
token: token//將token傳給前端
}
}
這樣登錄成功后的話前端就能收到后端生成的唯一性的token了,同時我也生成了兩對的鍵值對,一對是以token為key,以自定義的token前綴為value;一對是以用戶id為key,以token作為值的資料,在用戶登錄時拿到用戶的id,在redis中清除掉以這個用戶id為key的記錄,再存入一條以token為key的記錄,這樣就能保證每次用戶登錄該用戶都是只有一個合法的key(就是所謂的同一個賬戶在多地登錄會擠掉其他人的登錄狀態),
解密
加密完之后客戶端請求必然需要帶上登錄態token來操作資料,但是不可能在客戶端去傳用戶的資料,那樣太不安全了,這樣我上面生成token時將用戶資訊加進去的資料就有用處了,只要解密我就能知道這個token所攜帶的用戶資訊了,這個token客戶端看到也是不知道用戶資訊的,所以相對來說比較安全些,
在common.js寫了一個獲取前端傳入的token(走請求頭傳入,不以引數的形式)
//common.js
//根據請求頭的資訊獲取前端傳入的token
getHeaderToken(ctx) {
if (ctx.header && ctx.header.token) {
return ctx.header.token
}
}
const common = require('../util/comon')
//洗掉管理員
router.post('/****', async (ctx, next) => {
let token = await common.getHeaderToken(ctx)
let userInfo = await common.getUserInfo(token)
//用戶名
console.log(userInfo.name)
//用戶id
console.log(userInfo.userid)
}
所以,只要前端傳入token,后端就能知道這個token所攜帶的用戶的資訊,方便后端處理資料所需的必備條件,
以上就是本此介紹token的使用,下文將介紹根據登錄臺控制介面請求權限,
上一篇:撰寫介面路由
下一篇:token控制介面權限
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/105734.html
標籤:其他
上一篇:堆溢位 代碼植入 狙擊RtlEnterCriticalSection()函式指標
下一篇:一夜之間火爆GitHub的好文!!阿里資深架構師整理分享(內部)的SpringSecurity實戰技術檔案,看完我立馬跪了!!