【搭建博客服务端部分】第七部分 token校验

原创 于 2022-10-05 15:48:03 发布 · 319 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #前端 #node.js #mssql

本文介绍了如何在博客服务端实现Token校验的过程,包括设置跨域、解析JSON数据及使用中间件验证Token的有效性等内容。

【搭建博客服务端部分】第七部分 token校验

文章目录

7. token校验

在app.js

const express = require('express')
const multer = require('multer')
const { db, genid } = require('./db/dbUtils')
const path = require('path')
const port = 8888
const app = express()

// 配置跨域相关
app.use(function (req, res, next) {
    // 允许跨域域名
    res.header('Access-Control-Allow-Origin', '*')
    // 允许 header类型
    res.header('Access-Control-Allow-Headers', '*')
    // 允许请求方式类型
    res.header('Access-Control-Allow-Methos', 'GET,PUT,POST,OPTIONS,DELETE')
    if (req.method == 'OPTION') {
        // 让options尝试请求快速结束
        res.sendStatus(200)
    } else {
        next()
    }
})

// 对格式为JSON的body数据进行解析
app.use(express.json())

// 支持使用上传的中间件
app.use(multer({
    dest: "./public/upload/temp"
}).any())

// 指定静态资源路径
app.use(express.static(path.join(__dirname, 'public')))

// 使用中间件对token进行校验
// 把需要校验的接口前面加上_token
const keyword_token = '/_token'
app.all('*', (req, res, next) => {
    if (req.path.indexOf(keyword_token) > -1) {
        const { token } = req.headers
        db.async.all("SELECT * FROM admin WHERE token = ? ", [token]).then(({ error, rows }) => {
            if (error != null || rows.length <= 0) {
                res.send({
                    code: 403,
                    msg: '请先登录!'
                })
            } else {
                next()
            }
        })
    } else {
        next()
    }
})

// 注册路由
app.use('/admin', require('./router/loginAPI'))
app.use('/category', require('./router/categoryAPI'))
app.use('/blog', require('./router/blogAPI'))
app.use('/upload', require('./router/uploadAPI'))

app.get('/', (req, res) => {
    res.send('xxxx')
})

app.listen(port, () => {
    console.log(`http://localhost:${port}`);
})

总结

以上就是今天要讲的内容,希望对大家有所帮助!!!

SpringBoot集成Sa-Token框架权限认证全面指南
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-22 506
Sa-Token是一款轻量级Java权限认证框架,提供登录认证、权限控制、单点登录等功能。其核心优势在于简单易用、功能全面,特别适合前后端分离和微服务架构。框架采用分层设计,包含API层、实现层和适配层,支持Token管理和分布式会话。与传统方案相比,Sa-Token具有更低的学习曲线和更好的RESTful支持。集成SpringBoot时仅需添加简单依赖和配置即可快速启用,提供Token有效期、并发登录等灵活配置选项。通过注解和拦截器实现权限校验,内置自动续期等实用功能,是一款高效便捷的权限管理解决方案。
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、Token、JWT怎么选?
天罡gg的专栏
03-29 5377
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
Vue中upload上传图片token为空解决
weixin_54586234的博客
09-10 2113
因为upload有自己的请求头不会调用axios里设置好的token 解决:为upload 设置上传的请求头部 :headers='headersObj' 再在data()里添加如下即可: headersObj:{ Authorization:window.sessionStorage.getItem('token') }, ...
el-upload增加token(element ui)
qq_42949209的博客
12-13 6243
element ui 中的el-upload接口中是不传token的 如果后台没有加限制 上传文件会报token错误 下面介绍给el-upload增加token <el-upload class="upload-demo" ref="upload" action="https://jsonplaceholder.typicode.com/posts/" :on-preview="handlePreview" :on-remove="handleRemove" :file-l...
ant design vue 组件中的自定图片上传,上传时候要求传upload_token(除了文件信息之外第二个参数)
qq_43468165的博客
12-02 3116
经过两个vue项目,分享一下图片上传这里的写法和注意点 1.只传一个文件信息过去时 //HTML <!-- 上传按钮 --> <div class="file-upload fl-r"> <span class="upload-desc">大小不能超过2M</span> <a-upload name="iFile"
Token验证介绍
小麦大大博客
07-23 1771
http
elementUI upload上传文件时携带token
大海无量的博客
12-19 1万+
参考文章:https://segmentfault.com/q/1010000010201366 前端: &lt;template&gt;     &lt;el-upload action="test" :headers="importHeaders"&gt;&lt;/el-upload&gt; &lt;/template&gt;   &lt;script&gt; var myto
Nuxt开发搭建博客系统
qq_41662119的博客
02-19 1222
Nuxt开发搭建博客系统 nuxt.js第三方插件的使用?路由的配置pages目录自动生成路由layoutsdefault.vueerror.vueVuex的使用权限篇Mysqladvice nuxt.js 追求完美,相信大家都是这样的。因为前后端分离的弊端性,在项目构建时,浏览器并不会捕捉到项目的内容,所以开始,笔者决定引入nux...
第六章 Auth2微服务权限校验笔记
hankin的博客
06-07 5102
一、oauth2.0相关概念介绍 采用token认证的方式校验是否有接口调用权限,然后在下游系统设置访问白名单只允许zuul服务器访问。理论上zuul服务器是不需要进行权限校验的,因为zuul服务器没有接口,不需要从zuul调用业务接口,zuul只做简单的路由工作。下游系统在获取到token后,通过过滤器把token发到认证服务器校验token是否有效,如果认证服务器校验通过就会携带这个token相关的验证信息传回给下游系统,下游系统根据这个返回结果就知道该token具有的权限是什么了。所以校验toke
springboot+shiro+jwt+redis+cache实现无状态token登录
热门推荐
doufuplus
03-09 4万+
网上关于shiro的整合文章不少,但很多并不适用于前后端分离/移动端的项目 1. shiro默认的拦截跳转都是跳转url页面,这在前后端分离的项目中显然行不通 2. shiro默认使用session做登录校验,分离后当然这也是不推荐的。 那么要如何做呢?戳进来,这里有详尽实现~
Vue - ElementUI 组件 upload 上传文件时携带 token
技术共享,共同进步!
10-13 3929
ElementUI 组件 upload 上传文件时携带 token data 中定义 token 参数data() { return { token: "", }, 本地存储中获取 tokenmounted() { this.token = window.sessionStorage.getItem("token"); }, computed 计算属性中计算 headerscomputed: { config() { return { token: this.token
七牛 fetch java_七牛云Fetch第三方资源 并获取url
weixin_33873965的博客
02-13 477
七牛云的图片加速一直在用,好用没得说,最近想采集一些图片,然后上传,别人调用的功能,所以就下载到了七牛,也就用到了七牛的fetch功能,这步搞定之后,七牛的文档好乱,好多相关的东西不在一起写,要分别找,而且描述的不清楚,另外吐槽下,给的PHP SDK也有点问题,返回bad token。。。。但是七牛云的服务还是很好的,嘿嘿话不多说,下面上代码,两个函数,大家参考下载域名中.根据自己所在区进行切换i...
token的生成和上传 (七牛 安卓版)
路一直在
11-11 3311
try { // 1 构造上传策略 JSONObject _json = new JSONObject(); long _dataline = System.currentTimeMillis() / 1000 + 3600;
基于jwt的token验证
weixin_34266504的博客
06-06 1223
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
资源服务器验证Token的几种方式
bobozai86的博客
05-25 8772
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token的流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
开发API接口的安全验证:token,参数签名,时间戳
何哥的博客
03-18 2万+
前言:服务端前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口的安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
Token验证--JWT
qingxiao1999的博客
09-06 3619
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
服务端怎么校验token
最新发布
01-22
### 服务端实现 Token 校验的方法和最佳实践 #### 使用 JWT 实现 Token 校验 JSON Web Tokens (JWT) 是一种开放标准 RFC 7519 方法,用于在网络应用环境间安全地传输信息。当用户通过用户名/密码成功登录后,服务器生成一个 JSON Web Token 并发送给客户端[^3]。 ```javascript const jwt = require('jsonwebtoken'); // 创建 token function createToken(user) { const payload = { id: user.id, username: user.username }; return jwt.sign(payload, 'your_secret_key', { expiresIn: '1h' }); } ``` 为了验证传入的 token 是否有效,可以在每次 API 请求到达时解析并检查它: ```javascript function verifyToken(req, res, next) { const bearerHeader = req.headers['authorization']; if (typeof bearerHeader !== 'undefined') { const bearer = bearerHeader.split(' '); const bearerToken = bearer[1]; jwt.verify(bearerToken, 'your_secret_key', (err, authData) => { if (err) { res.sendStatus(403); } else { req.authData = authData; next(); } }); } else { res.sendStatus(403); } } ``` 这种方法不需要将 tokens 存储在数据库中,减少了查询次数,提高了性能[^2]。 #### 整合接口签名校验与日志记录 对于更复杂的应用程序来说,除了简单的 token 验证外,还可以考虑集成其他的安全措施,比如接口签名验证以及详细的日志记录机制。这可以通过创建自定义装饰器来完成,该装饰器能够同时处理这三个方面的工作——即 SignValidation、APILog 和 TokenValidation ——并将它们封装在一个名为 ApiValidation 的单一注解内[^1]。 ```typescript import { applyDecorators, SetMetadata, UseInterceptors } from '@nestjs/common'; import { LoggingInterceptor } from './logging.interceptor'; export function ApiValidation() { return applyDecorators( SetMetadata('sign_validation', true), SetMetadata('token_validation', true), UseInterceptors(LoggingInterceptor), ); } ``` 上述代码片段展示了如何利用 NestJS 框架中的元编程特性构建复合型中间件处理器,从而简化控制器逻辑的同时增强了安全性。 #### Nginx + Lua 扩展能力 如果应用程序运行于高并发环境下,则可能需要借助反向代理服务器如 Nginx 来分担部分工作负载。Nginx 支持通过嵌入式脚本语言 Lua 对 HTTP 请求进行预处理,包括但不限于 token 校验及 URL 路由重写等功能[^4]。 ```nginx http { lua_package_path "/path/to/lua/files/?.lua;;"; server { location /api/ { access_by_lua_file /path/to/token-validation.lua; rewrite_by_lua_block { local uri_args = ngx.req.get_uri_args() -- 动态获取转发 URI ... } proxy_pass http://backend_servers; } } } ``` 这种方案不仅减轻了上游应用服务器的压力,而且提供了更高的灵活性以适应不同的业务需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值