cookie?session?jwt
寫在前面
PS:已經(jīng)有很多文章寫過這些東西了��,我寫的目的是為了自己的學(xué)習(xí)����。所學(xué)只是為了更好地了解用戶登錄鑒權(quán)問題��。
我們都知道HTTP是一個無狀態(tài)的協(xié)議
什么是無狀態(tài)����?
用http協(xié)議進(jìn)行兩臺計算機(jī)交互時,無論是服務(wù)器還是瀏覽器端�,http協(xié)議只負(fù)責(zé)規(guī)定傳輸格式,你怎么傳輸���,我怎么接受怎么返回���。它并沒有記錄你上次訪問的內(nèi)容�����,你上次傳遞的參數(shù)是什么���,它不管的。
回到我們要解決的問題�����,就是用戶登錄到了一個網(wǎng)站(index.html)���,然后點(diǎn)擊主頁上的某一個超鏈接跳轉(zhuǎn)到其他頁面(another.html)�,這個時候你在another.html頁面就沒有了登陸狀態(tài)��。這樣意味著我們每次跳轉(zhuǎn)一個頁面都要進(jìn)行一次登陸操作��,這是極其不合理的�����。
為了保證登錄信息以及狀態(tài)信息能夠傳遞下去,就引入了其他機(jī)制
session和cookie
Cookie
(1)cookie是實際存在的���,存在于客戶端�����,用戶可見可修改���,不安全。
(2)cookie在一個域名下是全局的����,只要設(shè)置path為/��,即可從該域名下的任意頁面讀取cookie中的信息�����。
(3)為了安全���,HttpOnly設(shè)置為true����,這樣可以一定程度上的預(yù)防XSS(跨站腳本攻擊)
(4)瀏覽器禁用cookie之后,這種情況下會使用url重寫的技術(shù)來進(jìn)行會話跟蹤��,即在url后面加上sid=xxx參數(shù)���。
大多數(shù)應(yīng)用都是基于cookie來實現(xiàn)session跟蹤的���。
Session
session是一種機(jī)制,并不實際存在���,它由服務(wù)器負(fù)責(zé)管理�。關(guān)閉瀏覽器之后�����,session就會丟失�。
具體的過程如下:
(1)客戶端第一次發(fā)送請求到服務(wù)器,服務(wù)器生成一個唯一的sessionId����,一個sessionId對應(yīng)一個用戶,該sessionId可以存放在Redis或者mongodb中��,具體存放在哪里看個人選擇
(2)后端將該sessionId放到響應(yīng)頭的Set-Cookie字段����,返給前端�。
(3)前端記下該sessionId并放到cookie字段��,之后每次客戶端請求服務(wù)器時都會在請求頭帶上cookie字段�,服務(wù)端根據(jù)sessionId來獲取具體信息(比如TTL,過期時間�,用戶id)
Koa2中使用session
首先當(dāng)然是引入包了啊,這里選擇了koa-session2`����。koa-session2`已經(jīng)幫你做好了所有,使用起來相當(dāng)簡單�,方便快速開發(fā)。
const Koa = require("koa")
const app = new Koa()
const session = require("koa-session2")
app.use(session({
stort: new RedisStore(), //存放session的地方���,我這里選擇放到redis里
key: "SESSION_ID"
}))
new RedisStore()又是什么呢����?其實查看koa-session2的git倉https://github.com/Secbone/koa-session2就能知道
以下來自官方git倉:
const Redis = require("ioredis");
const { Store } = require("koa-session2");
class RedisStore extends Store {
constructor() {
super();
this.redis = new Redis(); // 連接redis
}
async get(sid, ctx) {
let data = await this.redis.get(`SESSION:${sid}`);
return JSON.parse(data);
}
async set(session, { sid = this.getID(24), maxAge = 1000000 } = {}, ctx) {
try {
// Use redis set EX to automatically drop expired sessions
// 設(shè)置redis的Ex 以自動丟棄過期的session
await this.redis.set(`SESSION:${sid}`, JSON.stringify(session), "EX", maxAge / 1000);
} catch (e) {}
return sid;
}
async destroy(sid, ctx) { // 刪除redis中的數(shù)據(jù)
return await this.redis.del(`SESSION:${sid}`);
}
}
module.exports = RedisStore;
接下來就是判斷登陸�,以及將需要的信息寫入session
let sid = ctx.cookies.get("SESSION_ID") // 獲得cookie中的sid
ctx.session.myinfo = {a: 1, b: 2} //將一個數(shù)據(jù)對象放到session中
// 最后的結(jié)果就是:
// redis中的鍵為SESSION:sid
// 值為{myinfo: {a: 1, b: 2}}
當(dāng)你退出時�����,清空cookie和session即可
ctx.cookies.set("SESSION_ID", "")
ctx.session = null
JWT
簡答認(rèn)識JWT
讓我們來看看重頭戲JWT,全稱JSONWebToken���,是一種目前較為流行的驗證方式����。
JWT由三部分組成�����,第一部分我們稱它為頭部(header),
//header
{
"typ": "JWT", // 類型
"alg": "HS256" // 加密算法
}
// 對其base64 得到了第一個部分
第二部分我們稱其為載荷(payload, 類似于飛機(jī)上承載的物品)
// payload 存放有效信息的地方 比如userId
{
"id": "1234567890",
"name": "John Doe",
"isMan": true
}
// 對其base64 得到第二個部分
第三部分是簽證(signature).
// 將base64后的header和base64后的payload使用.連接組成新的字符串�����,然后使用header中聲明的加密方式對其進(jìn)行加鹽secret組合加密�����,得到了第三個部分
將三部分用.連接成一個完整的字符串����,得到了最終的jwt。
注意:
不應(yīng)該在jwt的payload部分存放敏感信息��,因為該部分是客戶端可解密的部分。
保護(hù)好secret私鑰��,該私鑰非常重要��。
如果可以���,請使用https協(xié)議
具體的過程如下:
(1)客戶端第一次發(fā)送請求到服務(wù)端�����,服務(wù)器驗證用戶信息
(2)服務(wù)端生成一個token發(fā)送給客戶端
(3)客戶端保存token����,之后每次請求時帶上這個token
(4)服務(wù)端驗證token��,返回數(shù)據(jù)�����。
與session的過程是類似的���,但是缺少了將jwt保存到服務(wù)端����,這樣便于擴(kuò)展��,不會因為登錄到不同的服務(wù)器導(dǎo)致session無法共享���。
Koa2中使用jwt
第一步當(dāng)然還是下包���。。npm install jsonwebtoken
const jwt = require("jsonwebtoken")
服務(wù)端生成token����,并返給前端
// 生成token
const token = jwt.sign({role: user.role, id: user._id}, key, {expiresIn: "1 days"}) // 第一個參數(shù)為負(fù)載的信息,第二個參數(shù)為secret���,第三個參數(shù)我是過期時間
// 返回前端
ctx.body = {
token: token
}
客戶端之后發(fā)起請求�����,應(yīng)該帶上token字段��,將其放在authorization請求頭字段或者以query的方式����。
if(ctx.header.authorization && ctx.headers.authorization.split(" ")[0] === "Bearer") {
token = ctx.header.authorization.split(" ")[1]
} else if(ctx.query && ctx.query.token) {
token = ctx.query.token
}
然后服務(wù)端驗證token���,進(jìn)行相應(yīng)的處理返回數(shù)據(jù)�。
// 解密token 一般使用jwt.verify不適用jwt.decode
let decoded = jwt.verify(token, key) // 得到token中包含的信息對象
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/94670.html
