【 Node 】生成token、存储到cookie

最新推荐文章于 2024-09-20 10:36:48 发布
原创 最新推荐文章于 2024-09-20 10:36:48 发布 · 784 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#node.js

该博客介绍了JWT(JsonWebToken)的原理和使用,包括它的三个组成部分:头、载体和签名。详细阐述了如何使用jsonwebtoken库进行加密、设置过期时间和验证Token的合法性。同时,展示了如何将Token存储到Cookie中,并设置了相关的选项如过期时间和安全性配置。

介绍

JWT(Json Web Token)是实现token技术的一种解决方案,JWT由三部分组成: header(头)、payload(载体)、signature(签名)
jsonwebtoken
cookie-parser

下载

npm install jsonwebtoken cookie-parser --save

加密

// (需要加密的对象,<自定义key>,参数)
	jwt.sign(payload, secretOrPrivateKey, [options, callback])
			payload参数 (与option里面的参数只能设置其中的一个 不能二者都设置)
			{
				iss(issuer): 签发人
				exp (expiration time): 过期时间
				sub (subject): 主题
				aud (audience): 受众
				nbf (Not Before): 生效时间
				iat (Issued At): 签发时间
				jti (JWT ID): 编号
			}
			options参数
			{
				algorithm:加密算法(默认值:HS256)
				expiresIn:以秒表示或描述时间跨度zeit / ms的字符串。如60"2 days""10h""7d",含义是:过期时间
				notBefore:以秒表示或描述时间跨度zeit / ms的字符串。如:60"2days""10h""7d"
				audience:Audience,观众
				issuer:Issuer,发行者
				jwtid:JWT ID
				subject:Subject,主题
				noTimestamp
				header
			}
	jwt.sign({password:"需要加密的密码",.......}, <自定义名称>, {
		algorithm:"加密算法(默认是HS256)", (加密算法)
		expiresIn:"60 / 2 days / 10h / 7d", (过期时间)
		.......
	})

验证

	// 验证token的合法性
	jwt.verify(token,secretOrPublicKey)
	// 获取的Token包括 Bearer xxxxxxx 使用split分隔成数组 获取后面的token
	let token = req.headers.authorization.split(" ")[1];
	const decoded = jwt.verify(token, secretOrPrivateKey);

生成token令牌

const express = require('express')
const jwt = require('jsonwebtoken');
const cookieParser = require('cookie-parser')
const app = express()
app.use(cookieParser())

app.get('/token',(req,res)=>{
	// 生成token
	const token = jwt.sign({name:"name",password:"123456"},'token',{
		expiresIn:"1d"
	})
	res.status(200).send({success:true,token:token})
})

app.listen(8000,console.log('服务器已经启动'))

在这里插入图片描述

存储到cookie

const express = require('express')
const jwt = require('jsonwebtoken');
const cookieParser = require('cookie-parser')
const app = express()
app.use(cookieParser())

app.get('/cookie',(req,res)=>{
	const token = jwt.sign({name:"name",password:"123456"},'token',{
		expiresIn:"1d"
	})
	req.cookies = token
	console.log('Cookies: ', req.cookies)
	// 存储到cookie 
	/**
		res.cookie("key",value,options)
			options
			{
				domain : 域名,
				expires : 过期时间,
				maxAge : 最大失效时间/毫秒,
				secure : true (cookie在HTTP下无效 在HTTPS里面才有效),
				httpOnly : false, (设置为true的时候 无法使用document.cookie读取信息 可以防止XSS攻击)	
				signed : true (使用res.signedCookies访问 需要在app.use(cookieParser()) 里面传参)
				path:/ 表示cookie影响到的路由
			}
	*/
	res.status(200).cookie('token', token,{ maxAge: 10000*4,signed:true,httpOnly:true }).json({ success: true, token: token })
})

app.listen(8000,console.log('服务器已经启动'))

在这里插入图片描述
在这里插入图片描述

zwj、
关注
token生成
weixin_51482243的博客
07-31 782
jwt官网:token生成是这三部分:Header(请求头),Payload(有效负载),Signature(签名-生成token)->TokenUtils开发 + ResultToken开发 -> 达到生成,验证,响应token
jwt生成token
热门推荐
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
node制作token
qq_43260366的博客
04-24 469
node制作token 1定义:jwt全称json web token ,jwt.io是用于令牌签名/验证的库,用来生成jwt。简单理解一下,就是 jwt.io这个库,提供了一种方法可以将一些信息加密,形成一串长长的字符串; 2.node中使用 借助jsonwebtoken插件 (1)下载: npm i jsonwebtoken (2)导入: const jwt=require('jsonwebtoken') (3)存在一个加密函数sign用于生成jwt ; 语法:jwt.sign
node生成token
pgzero的博客
02-07 1575
一、安装依赖 npm install jsonwebtoken 二、生成token //引入 const jwt = require('jsonwebtoken'); let secret = 'test'; //签名 module.exports={ //生成token generateToken(data) { let token = jwt.sign(data,secret); return token; } }
node.js操作Cookie
weixin_34248118的博客
08-19 300
通过node.js建立了一个完整的网站不是一件容易的事,这涉及读取页面模板,从数据库中抽出数据构建成新的页面返回给客户端。但光是这样还不行,我们还要设置首部,在chrome中如果CSS没有设置正确的Content-Type,会不起作用的。此处理还要考虑访问量,要设置缓存,缓存不单单是把东西从内存中读入读出就行,这样会撑爆电脑内存的,这用LRU算法(最近最少用的数据会清空出内存)。基于Cookie...
node会话管理详解(cookie、session、token
2301_76669854的博客
06-02 1083
Node.js中,cookie、session和token都是用于会话管理的机制,但它们各自有不同的使用场景和特性。
精选资源
node实现基于token的身份验证
01-02
最近研究了下基于token...为了解决这一问题,需要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cooki
Node登录权限验证token验证实现的方法示例
10-15
3. 前端在登录成功后将token存储在LocalStorage或Cookie中。 4. 后端接收请求,使用公钥验证token:`jwt.verify(jwt_token, public_doc)`。 在实际的Express应用中,你可以设置中间件来处理token验证: ```...
精选资源
node+mysql实现登陆与注册以及token验证.zip
06-07
6. **Token验证**:当客户端收到JWT后,会将其保存在本地(如Cookie或LocalStorage)。之后的每次请求,客户端都会将此JWT作为认证信息发送给服务器。服务器会验证JWT的有效性,包括签名是否正确,是否在有效期内,...
Angular-Node-Token:使用 Angular、NodeToken 身份验证创建应用程序
06-27
4. **Token存储**:客户端存储这个Token,通常是放在localStorage或sessionStorage中。 5. **保护路由和API**:在Angular应用中,客户端在访问受保护的路由或调用需要身份验证的API时,会在请求头中附带Token。 6. *...
node生成token(express框架)
wanbiaoTT的博客
02-25 846
废话不多说 首先安装jsonwebtoken 模块 npm install jsonwebtoken 生成token最好配置相应的模块然后在需要使用的地方引入即可,不要在登录的时候直接在接口里写,代码会很乱 引入jwt,然后写token生成函数 通过jwt.sign签名方法使用规则,秘钥,有效时间来生成一个token const jwt = require('jsonwebtoken') let setToken = function(str1,str2){ let user = str1;
nodejs生成token
a15240780264的博客
08-04 2872
首先安装jsonwebtoken,命令:npm i jsonwebtoken --save 代码如下所示: const fs = require('fs') // 文件模块 const path = require('path') // 路径模块 const jwt = require('jsonwebtoken') // 引入jsonwebtoken模块 class Jwt { // 获取调用方法的传值 constructor(data) { this.data = data }.
Node.js学习--06--数据库与身份认证
Alone的博客
03-28 1928
目录 1 2 数据库 SQL AND OR 语句 ORDER BY语句 COUNT AS 在项目中操作MySQL npm i mysql 标记删除 ...
Node.js生成token详解
aigouzz的专栏
10-13 663
jsonwebtokens简称jwt,是后端用来生成token的一个库。
node后端进行token生成、验证
kymengfw的博客
05-18 2054
// 首先是引入jsonwebtoken生成token用的key(安全起见,存放在了系统环境变量TOKEN_KEY中) const jwt = require("jsonwebtoken"); const jwtKey = process.env.TOKEN_KEY; ...... // 用户登陆正确时,服务器生成并返回token app.post('/login', (req,res) => { const {username, password} = req.body; // .
NodeJStoken生成与认证
hsg_happyLearning的博客
02-25 1556
导入依赖 koa、koa-router、basic-auth、jsonwebtoken // package.json "dependencies": { "basic-auth": "^2.0.1", "jsonwebtoken": "^8.4.0", "koa": "^2.7.0", "koa-router": "^7.4.0" } 生成token...
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 1131
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
Node.js】Express中生成Token的完整指南
lph159的博客
09-20 2062
Token 是一种用于身份验证的凭证。与传统的基于会话的认证机制不同,Token 是一种无状态的认证方式,通常由服务器生成并发送给客户端。在后续的请求中,客户端会将该 Token 发送回服务器,服务器通过验证 Token 的有效性来确认用户身份。Token 认证机制是一种高效、灵活的身份验证方式,尤其适用于分布式系统和无状态的 API。通过 Express 和库,我们可以轻松实现基于 Token 的认证系统,并确保通信的安全性。
session与token3
哈尼熊熊的博客
10-20 341
接口特点汇总:1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效;2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程;3、有点接口需要用户登录才能访问;4、有点接口不需要用户登录就可访问; 针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。第一个token是针对接口的(api_token);第二个token是针对用户的(user...
node.js生成cookie用先进的
最新发布
05-13
<think>好的,我现在需要帮助用户找到在Node.js生成Cookie的最佳实践和高级方法。首先,我应该回顾一下用户提供的引用内容,看看哪些信息可以用上。 引用[1]中的示例展示了如何通过原生Node.js设置Cookie,使用`res.writeHead`来添加`Set-Cookie`头。这说明最基本的方法是手动操作响应头。不过用户问的是最佳实践和高级方法,可能需要更便捷或安全的方式。 引用[3]和[4]提到了使用Express框架中的`res.cookie()`方法,这比原生方法更方便,允许通过选项配置Cookie属性。比如设置maxAge、httpOnly等。这可能是一个最佳实践,因为Express简化了操作。 引用[5]讨论了JWT用于认证,虽然主要关于token,但提到了安全存储token的方法,可能和Cookie的安全配置有关联,比如使用httpOnly和secure标记来增强安全性。 接下来,我需要整理Node.js生成Cookie的最佳实践,可能包括以下几点: 1. **使用Express中间件**:比如cookie-parser,简化Cookie的解析和设置。引用[4]中的代码示例展示了如何使用`res.cookie()`,这可能比原生方法更高效。 2. **安全配置**:设置httpOnly、secure、sameSite等属性,防止XSS和CSRF攻击。引用[3]和[4]中的例子部分涉及这些选项,但可能需要更详细的说明。 3. **签名Cookie**:提高安全性,确保Cookie未被篡改。引用[4]中的代码用到了cookie-parser,可能需要提到签名Cookie的使用方法。 4. **性能优化**:比如设置适当的过期时间,避免过大的Cookie影响性能。引用[3]中的maxAge设置是一个例子。 5. **结合JWT**:如引用[5]所述,将JWT存储在HttpOnly Cookie中,增强认证安全性。 另外,需要考虑现代前端应用的同源和跨域问题,设置sameSite属性,以及使用Secure标记在HTTPS环境下。可能还需要提到Domain和Path属性,控制Cookie的作用范围。 需要确保回答覆盖这些点,并且引用正确的来源。例如,Express的res.cookie方法来自引用[3][4],安全配置可以参考[3][5],签名Cookie在[4]中提到的cookie-parser可能支持。 现在要组织这些信息,结构清晰,分点说明最佳实践,并给出代码示例。同时,根据用户要求生成相关问题,可能需要围绕安全性、配置选项、与其他认证方式的结合等方面提问。</think>在Node.js生成Cookie的最佳实践需要综合考虑安全性、功能需求和性能优化。以下是基于现代Web开发标准的高级实现方法: ### 一、安全配置实践 1. **强制HTTPS传输** ```javascript res.cookie('sessionID', token, { secure: true, // 仅HTTPS传输 sameSite: 'Strict', // 防御CSRF攻击 httpOnly: true // 禁止客户端脚本访问 }) ``` 通过`secure`+`httpOnly`+`sameSite`三联动配置,可有效防御XSS和CSRF攻击[^3][^5] 2. **签名验证机制** ```javascript const express = require('express') const cookieParser = require('cookie-parser') app.use(cookieParser('your_secret_key')) // 设置签名Cookie res.cookie('userData', encryptedData, { signed: true // 启用签名验证 }) ``` 签名机制可防止客户端篡改Cookie内容[^4] ### 二、高级会话管理 1. **JWT集成方案** ```javascript const jwt = require('jsonwebtoken') // 生成带时效的加密Cookie const token = jwt.sign({ userId: 123 }, 'secret_key', { expiresIn: '2h' }) res.cookie('authToken', token, { httpOnly: true, maxAge: 7200000 // 与JWT过期时间同步 }) ``` 通过JWT实现无状态会话管理,特别适合分布式系统[^5] 2. **多因素验证绑定** ```javascript res.cookie('deviceFingerprint', generateDeviceID(), { path: '/auth', sameSite: 'Lax', maxAge: 30 * 24 * 3600 * 1000 // 30天持久化 }) ``` 设备指纹绑定可增强会话安全性[^2] ### 三、性能优化策略 1. **域分区存储** ```javascript // 静态资源域 res.cookie('cdn_cache', 'v2', { domain: '.static.example.com', path: '/assets' }) // 主应用域 res.cookie('appSession', sessionId, { domain: '.app.example.com', path: '/' }) ``` 通过Domain/Path划分减少无效Cookie传输[^1] 2. **体积压缩** ```javascript const msgpack = require('msgpack-lite') res.cookie('preferences', msgpack.encode(userPrefs).toString('base64')) ``` 使用二进制编码减少Cookie体积[^2] ### 四、监控与调试 1. **设置合规性检查** ```javascript app.use((req, res, next) => { const cookies = req.cookies if(Object.keys(cookies).length > 15) { res.status(400).send('Excessive Cookies') } next() }) ``` 限制Cookie数量和大小防止DoS攻击[^4] ### 五、现代API实践 ```javascript // 使用SameParty属性 res.cookie('internal', 'data', { sameSite: 'None', secure: true, sameParty: true // 即将推出的标准 }) // Partitioned存储 res.setHeader('Set-Cookie', 'thirdParty=value; Path=/; Secure; SameSite=None; Partitioned;' ) ``` 这些新特性可解决第三方Cookie存储问题[^2]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值