koa實戰 - 鑑權

原創 DrAlexsander 2020-06-16 02:34

session-cookie方式

const http = require('http')
const app = http.createServer((req, res) => {
  console.log(`cookie: ${req.headers.cookie}`)
  res.setHeader('Set-Cookie', 'cookie=admin');
  res.end('set cookie') 
})
app.listen(3000, () => {
  console.log(`start server at localhost:3000`)
})

Set-Cookie負責設置cookie;
請求傳遞cookie

session原理

const http = require('http')
const session = {}

http.createServer((req,res)=>{
  const sessionKey = 'sid'
  const cookie = req.headers.cookie;
  console.log(cookie)
  if(cookie && cookie.indexOf(sessionKey)>-1){
    res.end('welcome back')
    const pattern = new RegExp(`${sessionKey}=([^;]+);?\s*`) 
    const sid = pattern.exec(cookie)[1]
    console.log(`session: ${sid}`,session,session[sid])
  }else{
    const sid = (Math.random()*99999999).toFixed()
    res.setHeader('Set-Cookie',`${sessionKey}=${sid}`)
    session[sid] = {name:'lau'}
    res.end('welcome')
  }
}).listen(3000,()=>{
  console.log(`start server at localhost:3000`)
})

實現原理:

  1. 服務器在接受客戶端首次訪問時在服務器端創建seesion,然後保存seesion(我們可以將
    seesion保存在內存中,也可以保存在redis中,推薦使用後者),然後給這個session生成一
    個唯一的標識字符串,然後在響應頭中種下這個唯一標識字符串。
  2. 簽名。這一步通過祕鑰對sid進行簽名處理,避免客戶端修改sid。
  3. 瀏覽器中收到請求響應的時候會解析響應頭,然後將sid保存在本地cookie中,瀏覽器在下次
    http請求的請求頭中會帶上該域名下的cookie信息,
  4. 服務器在接受客戶端請求時會去解析請求頭cookie中的sid,然後根據這個sid去找服務器端
    保存的該客戶端的session,然後判斷該請求是否合法。

在koa中使用session
安裝koa-session

npm i -S koa-session

const Koa = require('koa')
const app = new Koa();
const session = require('koa-session')

app.keys = ['secret']; // 簽名key keys作用 用來對cookie進行簽名

const SESS_CONFIG = { // 配置
  key: 'koa:Session', //cookie key (default is koa:sess)
  maxAge: 1000, // cookie的過期時間 maxAge in ms (default is 1 days)
  httpOnly: true, //cookie是否只有服務器端可以訪問 httpOnly or not (default true)
  signed: true //簽名默認true
}

app.use(session(SESS_CONFIG, app)) // 註冊

app.use(ctx => {
  let n = ctx.session.count || 0;
  ctx.session.count = ++n;
  ctx.body = `第${n}次訪問了`
})
app.listen(3000, () => {
  console.log(`start server at localhost:3000`)
})

使用redis存儲session
要使用redis,先在官網下載後進行連接。
開啓redis
在這裏插入圖片描述
node連接redis

const redis = require('redis')
const client = redis.createClient(6379,'127.0.0.1')
client.on('error',(err)=>{
  console.log(`Error occur ${err}`)
})
client.set('name','leo',redis.print) // print 打印設置數據的結果
client.get('name',(err,val)=>{
  if(err) throw err;
  console.log(`Name : ${val}`) 
})

在koa中使用redis
安裝koa-redis

npm i -S koa-redis

const Koa = require('koa')
const app = new Koa();
const session = require('koa-session');
const koaRedis = require('koa-redis')
const redis = require('redis')
const redisClient = redis.createClient(6379,'127.0.0.1')
const wrapper = require('co-redis')
const client = wrapper(redisClient);

app.use(session({
  key:'koa:Session',
  store: koaRedis({client}) // 此處可以不必指定client
},app));
app.use(async (ctx,next)=>{
  const keys = await client.keys('*')
  keys.forEach(async key=>{
    console.log(await client.get(key))
  })
  await next()
})
app.listen(3000, () => {
  console.log(`start server at localhost:3000`)
})

token驗證

原理

  1. 客戶端使用用戶名跟密碼請求登錄
  2. 服務端收到請求,去驗證用戶名與密碼
  3. 驗證成功後,服務端會簽發一個令牌(Token),再把這個 Token 發送給客戶端
  4. 客戶端收到 Token 以後可以把它存儲起來,比如放在 Cookie 裏或者 Local Storage 裏
  5. 客戶端每次向服務端請求資源的時候需要帶着服務端簽發的 Token
  6. 服務端收到請求,然後去驗證客戶端請求裏面帶着的 Token,如果驗證成功,就向客戶端返回請求的數據。
const Koa = require('koa')
const router = require('koa-router')()
const jwt = require('jsonwebtoken');
const jwtAuth = require('koa-jwt');
const secret = 'secret key';
const app = new Koa();
router.get('/login', async (ctx) => {
  console.log('access')
  ctx.body = {
    message: 'login success',
    user: 'leo',
    token: jwt.sign({
      data: 'leo',
      exp: Math.floor(Date.now() / 1000) + 5 // 5秒後過期
    }, secret)
  }
})
router.get('/token', jwtAuth({ secret }), async ctx => {
  console.log(ctx.state.user);
  ctx.body = {
    message: 'get message',
    user: ctx.state.user.data
  }
})
app.use(async (ctx, next) => {
  ctx.set('Access-Control-Allow-Origin', '*');
  ctx.set('Access-Control-Allow-Headers', 'Content-Type, Content-Length, Authorization, Accept, X-Requested-With , yourHeaderFeild');
  ctx.set('Access-Control-Allow-Methods', 'PUT, POST, GET, DELETE, OPTIONS');
  if (ctx.method == 'OPTIONS') {
    ctx.body = 200;
  } else {
    await next();
  }
})
app.use(router.routes())
app.listen(3000, () => {
  console.log(`start server at localhost:3000`)
})

index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>token</title>
</head>
<script src="https://cdn.bootcdn.net/ajax/libs/axios/0.19.2/axios.js"></script>
<body>
  <div id="login">login</div>
  <div id="getToken">getToken</div>
</body>
<script>
axios.interceptors.request.use( config => { 
  const token = window.localStorage.getItem("token"); 
  if (token) { // 判斷是否存在token,如果存在的話,則每個http header都加上token // Bearer是JWT的認證頭部信息 
    config.headers.common["Authorization"] = "Bearer " + token; 
  }
  return config; 
},err => { return Promise.reject(err); } );
async function getResult(){
  const res = await axios.get('http://localhost:3000/token');
  console.log(res)
}
async function Login(){ 
  const res = await axios.get('http://localhost:3000/login');
  localStorage.setItem('token',res.data.token)
}
var login = document.querySelector('#login')
login.addEventListener('click',(e)=>{
  Login()
})
var to = document.querySelector('#getToken')
to.addEventListener('click',(e)=>{
  getResult()
})
</script>
</html>

如果token過期,則會返回401錯誤
在這裏插入圖片描述
jwt驗證過程:

  • 用戶登錄的時候,服務端生成一個token返回給客戶端
  • 客戶端後續的請求都帶上這個token
  • 服務端解析token獲取用戶信息,並響應用戶的請求
  • token會有過期時間,客戶端登出的時候也會廢棄token,但是服務端不需要任何操作

JWT(JSON WEB TOKEN)原理

Bearer Token包含三個組成部分:令牌頭、payload、哈希

  1. 簽名:默認使用base64對payload編碼,使用hs256算法對令牌頭、payload和密鑰進行簽名生成哈希
  2. 驗證:默認使用hs256算法對hs256算法對令牌中數據簽名並將結果和令牌中哈希比對
const jwt = require('jsonwebtoken');
const secret = 'secret key'
const userinfo={
  name:'leo',
  password:'123'
}
const token = jwt.sign({
  data:userinfo,
  exp:Math.floor(Date.now()/1000) + 2 // 2s後過期
},secret)
console.log(token)
const options={
  key:'userinfo'
}
console.log(`解碼:`,jwt.verify(token,secret,options))

HMAC SHA256
HMAC(Hash Message Authentication Code,散列消息鑑別碼,基於密鑰的Hash算法的認證協議。消息鑑別碼實現鑑別的原理是,用公開函數和密鑰產生一個固定長度的值作爲認證標識,用這個標識鑑別消息的完整性。使用一個密鑰生成一個固定大小的小數據塊,即MAC,並將其加入到消息中,然後傳輸。接收方利用與發送方共享的密鑰進行鑑別認證等。

BASE64
按照RFC2045的定義,Base64被定義爲:Base64內容傳送編碼被設計用來把任意序列的8位字節
描述爲一種不易被人直接識別的形式。常見於郵件、http加密,截取http信息,你就會發現登錄操作的用戶名、密碼字段通過BASE64編碼的

Beare
Beare作爲一種認證類型(基於OAuth 2.0),使用"Bearer"關鍵詞進行定義

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

分享一份物聯網SAAS平臺架構設計

一、架構圖**** 二、Nginx**** 用於做服務的反向代理。 三、網關**** PaaS平臺所有服務統一入口,包含token鑑權功能。 四、開放平臺**** 對第三方平臺開放的服務入口。 五、MQTT**** MQTT用於設備消息通

原創 2024-04-30 23:42:19

從NoSQL到NewSQL——10年代大數據浪潮下的技術革新

引言     在數字化浪潮的推動下,數據庫技術已成爲支撐數字經濟的堅實基石。騰訊雲 TVP《技術指針》聯合《明說三人行》特別策劃的直播系列——【中國數據庫前世今生】,我們將通過五期直播,帶您穿越五個十年,深入探討每個時代的數據庫演變

原創 2024-04-28 23:12:26

DataGear 企業版 1.1.0 發佈,數據可視化分析平臺

DataGear 企業版 1.1.0 正式發佈,歡迎大家瞭解試用! http://datagear.tech/pro/ 企業版 1.1.0 新增了MQTT、WebSocket實時數據集功能,新增了Redis、MongoDB數據集功能,具體更

原創 2024-04-24 21:42:05

一次Redis訪問超時的“捉蟲”之旅

01    引言 作爲後端開發人員,對Redis肯定不陌生,它是一款基於內存的數據庫,讀寫速度非常快。在愛奇藝海外後端的項目中,我們也廣泛使用Redis,主要用於緩存、消

原創 2024-04-23 13:04:36

世界讀書日 | 開發者必讀書單重磅來襲,華爲雲DTSE專家天團力薦

本文分享自華爲雲社區《世界讀書日 | 開發者必讀書單重磅來襲,華爲雲DTSE專家天團力薦》,作者: 華爲雲社區精選。 春色恰如許,讀書正當時。 讀書,就像解鎖一把神祕鑰匙,爲開發者洞開新世界的大門,賦予他們破譯複雜難題的能力、挑戰未知領域的

原創 2024-04-23 10:32:58

庫存領域核心能力--庫存預佔 建設實踐

前言 本文總結庫存領域建設庫存預佔能力時遇到的問題以及解決方案。感謝【金鵬】、【孫靜】、【陳瑞】同學在本文撰寫中提供的內容及幫助! 1、庫存預佔業務概述 消費者拍下商品訂單後,庫存系統先爲該訂單預留庫存,這個預留庫存的動作被稱爲庫存預佔

原創 2024-04-18 23:17:21

微服務架構下如何通過弱依賴原則保障系統高可用

前言 當我初次接觸高可用這個概念的時候,對高可用的【少依賴原則】和【弱依賴原則】的邊界感模糊,甚至有些“傻傻分不清楚”。這兩個原則都關注降低模塊之間的依賴關係,但它們之間的確存在某些差異。 那麼,「少依賴原則」和「弱依賴原則」它們之間本質

原創 2024-04-18 23:17:20

基於Redis實現基本搶紅包算法

簡介: 搶紅包是我們生活常用的社交功能, 這個功能最主要的特點就是用戶的併發請求高, 在系統設計上, 可以使用非常多的辦法來扛住用戶的高併發請求, 在本文中簡要介紹使用Redis緩存中間件來實現搶紅包算法, Redis是一個在內存中基

原創 2024-04-17 11:18:19

tp5命令行報 [BadFunctionCallException] not support: redis

tp5命令行報 [BadFunctionCallException] not support: redis 芝麻開門2015 於 2018-09-30 18:29:49 發佈 閱讀量1.3w  收藏 1 點贊數 分類專欄: php 版權 p

原創 2024-04-17 00:27:13

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

一次奇妙的任意用戶登錄實戰

剛剛進行了微信sessionkey的學習,正準備實戰一下,就發現了這個神奇的網站,預知後事如何。請繼續向下看去 1. 目標 2. 開局一個登錄框 3. 首先,直接弱口令走起來,萬一留有測試的賬號呢 嘗試,1311111111,1333

原創 2024-04-22 22:46:11

如何通過前後端交互的方式製作Excel報表

前言 Excel擁有在辦公領域最廣泛的受衆羣體,以其強大的數據處理和可視化功能,成了無可替代的工具。它不僅可以呈現數據清晰明瞭,還能進行數據分析、圖表製作和數據透視等操作,爲用戶提供了全面的數據展示和分析能力。 今天小編就爲大家介紹一下,如

原創 2024-04-30 10:24:12

得物 ZooKeeper SLA 也可以 99.99%丨最佳實踐

作者:Bruce 背景 今天分享的案例來自於得物技術團隊應用 MSE-ZooKeeper 過程中的最佳實踐。原文得物 ZooKeeper SLA 也可以 99.99% | 得物技術。 ZooKeeper(ZK)是一個誕生於 2007 年的分

原創 2024-04-22 21:12:04

實踐展示openEuler部署Kubernetes 1.29.4版本集羣

本文分享自華爲雲社區《openEuler部署Kubernetes 1.29.4版本集羣》,作者:江晚正愁餘。 一、Kubernetes集羣節點準備 1.1 主機操作系統說明 序號 操作系統及版本 備註 1 CentOS7u9或 Open

原創 2024-04-22 10:33:11

ci 404 問題總結

protected function getNode(){ //$CONTROLLER_NAME = $this->_CI->router->fetch_class(); //$ACTION_NAME = $this->_

原創 2024-04-20 00:28:27