内容简介:大家都知道http请求是无状态的,但是web应用中又需要记住登录信息,方便后续的操作。 于是,程序员们想到了一个方法:请求的时候拿着一个令牌,服务器认证这个令牌,如果通过校验才会响应数据。具体的流程如下: 1. 客户端带着用户名和密码访问`login`接口 2. 服务器收到请求后校验用户名和密码,校验正确后,服务器发送一个`HttpResponse`响应到客户端,其中包含`Set-Cookie`的头部 3. 客户端发起非登录请求时,假如服务器给了 set-cookie,浏览器会自动在请求头中添加 `cook
大家都知道http请求是无状态的,但是web应用中又需要记住登录信息,方便后续的操作。 于是,程序员们想到了一个方法:请求的时候拿着一个令牌,服务器认证这个令牌,如果通过校验才会响应数据。
具体的流程如下: 1. 客户端带着用户名和密码访问`login`接口 2. 服务器收到请求后校验用户名和密码,校验正确后,服务器发送一个`HttpResponse`响应到客户端,其中包含`Set-Cookie`的头部 3. 客户端发起非登录请求时,假如服务器给了 set-cookie,浏览器会自动在请求头中添加 `cookie` 4. 服务器接收请求,分解 `cookie`,验证信息,核对成功后返回 response 给客户端
const Koa = require('koa')
const app = new Koa()
app.use(async(ctx)=>{
if(ctx.url=== '/login'){//①①①①①①①①①
...
const { username, password } = ctx.body;
/** 数据库查询用户,校验成功后设置cookie
* ...其他操作
*/
ctx.cookies.set( //②②②②②②②②②
'username',username,{
domain:'localhost', // 写cookie所在的域名
path:'/index', // 写cookie所在的路径
maxAge:1000*60*60*24, // cookie有效时长
expires:new Date('2019-2-12'), // cookie失效时间
httpOnly:false, // 是否只用于http请求中获取
overwrite:false // 是否允许重写
}
)
ctx.body = {code:0,msg:'cookie is set'}
}else{
//③③③③③③③③③③③③
let hasCookies = ctx.cookies.get('username');
//④④④④④④④④④④④④
if( hasCookies ){
/** 处理请求返回结果
* let data = await database.table.find({})
* ctx.body = {
* code:0,
* data:data,
* msg:'success'
* }
*/
} else {
/**
* 找不到cookies逻辑处理
* ctx.body = {
* code:-1,
* msg:'failed,has no cookies'
* }
*/
}
}
})
app.listen(3000,()=>{
console.log('server is starting at port 3000')
})
复制代码
session
上述cookie的方式可以满足业务需求,但是存在明显的缺点:
- 不安全,cookie存放在客户端,容易发生CSRF攻击
- 每次都需要传输
- 容量受限制,所存的字符有限
-
虽然设置
httpOnly,但是使用document.cookie还是可以读取到的,容易篡改泄露
基于以上原因,程序员们又想到了另一种解决方案:session
具体流程和cookie一样。不同的是,服务器校验登录信息正确后,一是将session存入数据库(或者内存中),另一个是将session对应的key即(externalKey)写入到cookie。
const Koa = require('koa');
const Koa_Session = require('koa-session');
const session_signed_key = ["some secret hurr"]; // 这个是配合signed属性的签名key
const session_config = {
key: 'koa:sess', /** cookie的key。 (默认是 koa:sess) */
maxAge: 4000, /** session 过期时间,以毫秒ms为单位计算 。*/
autoCommit: true, /** 自动提交到响应头。(默认是 true) */
overwrite: true, /** 是否允许重写 。(默认是 true) */
httpOnly: true, /** 是否设置HttpOnly,如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 (默认 true) */
signed: true, /** 是否签名。(默认是 true) */
rolling: true, /** 是否每次响应时刷新Session的有效期。(默认是 false) */
renew: false, /** 是否在Session快过期时刷新Session的有效期。(默认是 false) */
};
// 实例化
const app = new Koa();
const session = Koa_Session(session_config, app)
app.keys = session_signed_key;
// 使用中间件,注意有先后顺序
app.use(session);
app.use(ctx => {
const databaseUserName = "testSession";
const databaseUserPasswd = "noDatabaseTest";
// 对/favicon.ico网站图标请求忽略
if (ctx.path === '/favicon.ico') return;
if (!ctx.session.logged) { // 如果登录属性为undefined或者false,对应未登录和登录失败
// 设置登录属性为false
ctx.session.logged = false;
// 取请求url解析后的参数对象,方便比对
// 如?nickname=post修改&passwd=123解析为{nickname:"post修改",passwd:"123"}
let query = ctx.request.query;
// 判断用户名密码是否为空
if (query.nickname && query.passwd) {
// 比对并分情况返回结果
if (databaseUserName == query.nickname) { // 如果存在该用户名
// 进行密码比对并返回结果
ctx.body = (databaseUserPasswd == query.passwd) ? "登录成功" : "用户名或密码错误";
ctx.session.logged = true;
} else { // 如果不存在该用户名
ctx.body = "用户名不存在";
}
} else {
ctx.body = "用户名密码不能为空";
}
} else {
/**ctx.body = "已登录" */
}
}
);
app.listen(3000);
复制代码
Token
用session方式鉴权,解决了部分问题,但是仍存在不少缺点:
- cookie+session 在跨域场景表现并不好(不可跨域,domain 变量,需要复杂处理跨域)
- 如果是分布式部署,需要做多机共享 Session 机制(成本增加)
- 查询 Session 信息可能会有数据库查询操作
于是 程序员 们又想到了一个解决办法: JWT(JSON Web Token)
JWT的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样:
{
"姓名": "森林",
"角色": "搬砖工",
"到期时间": "2020年1月198日16点32分"
}
复制代码
用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认证用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。
服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。
const Koa = require('koa')
const router = require('koa-router')
const jwt = require('jsonwebtoken')
const jwtAuth = require('koa-jwt')
const secret = 'itisvalue'
const bodyParser = require('koa-bodyparser')
const static = require('koa-static')
const app = new Koa()
app.use(static(__dirname +'/'))
app.use(bodyParser())
//配置session
router.post('/users/login-token', async ctx => {
const {body} = ctx.request
const userinfo = body.username
/** 登录逻辑处理...*/
ctx.body = {
message:'login success',
user:userinfo,
token:jwt.sign({
data:userinfo,
exp:Math.floor(Date.now() / 1000) +60*60 //token过期时间,秒为单位
},
secret)
}
})
//检查token是否合法
router.get('/users/getUser-token',
jwtAuth({secret}), async ctx => {
//验证通过
ctx.body = {
message:'get user datainfo success',
userinfo:ctx.state.user.data
}
})
复制代码
以上所述就是小编给大家介绍的《Golang入门》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- TiDB入门(四):从入门到“跑路”
- MyBatis从入门到精通(一):MyBatis入门
- MyBatis从入门到精通(一):MyBatis入门
- Docker入门(一)用hello world入门docker
- 赵童鞋带你入门PHP(六) ThinkPHP框架入门
- 初学者入门 Golang 的学习型项目,go入门项目
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Head First Servlets & JSP(中文版)
(美)巴萨姆、(美)塞若、(美)贝茨 / 苏钰函、林剑 / 中国电力出版社 / 2006-10 / 98.00元
《Head First Servlets·JSP》(中文版)结合SCWCD考试大纲讲述了关于如何编写servlets和JSP代码,如何使用JSP表达式语言,如何部署Web应用,如何开发定制标记,以及会话状态、包装器、过滤器、企业设计模式等方面的知识,以一种轻松、幽默而又形象的方式让你了解、掌握servlets和JSP,并将其运用到你的项目中去。《Head First Servlets·JSP》(中......一起来看看 《Head First Servlets & JSP(中文版)》 这本书的介绍吧!
