http 请求是没有状态的,每一次发请求,对服务器来说,都是单独的一个请求,服务器端无法判断你是谁,这个时候就需要一个登录凭证
cookie 又称为 “小甜饼” 类型为 “小型文本文件”,某些网站为了辨别用户身份而存储在用户本地终端上的数据
浏览器会在特定的情况下携带上 cookie 来发送请求,我们可以通过 cookie 来获取一些信息
- cookie 总是保存在客户端中,按在客户端中的存储位置,cookie 可以分为内存 cookie 和 硬盘 cookie
- 内存 cookie 由浏览器保护,保护在内存中,浏览器关闭时 cookie 就会消失,其存在时间是短暂的
- 硬盘 cookie 保存在硬盘中,有一个过期时间,用户手动清理或者过期时间到时,才会被清理
- 如果判断一个 cookie 是内存 cookie 还是硬盘 cookie 呢?
- 没有设置过期时间,默认情况下 cookie 是 内存 cookie ,在关闭浏览器时,会自动删除
- 有设置过期时间,并且过期时间不为0 或者 负数的 cookie ,是硬盘 cookie 需要手动或者到期时,才会删除
cookie 生命周期
cookie 作用域 (允许 cookie 发送给那些 URL)
设置cookie
一般来说,是服务器设置 cookie,,客户端删除 cookie。但 客户端也可以设置 cookie
浏览器端设置cookie
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><button id="btn">添加cookie</button><script&ElementById('btn').onclick = function () {// kie = 'name=kobe';// 通过 js 设置 cookie// age值为18 , 过期时间为 5秒kie = 'age=18;max-age=5;';}</script>
</body>
</html>
服务器端设置 cookie
const Koa = require('koa')
const Router = require('koa-router')const app = new Koa()
const testRouter = new Router()
app.utes())
('/test', (ctx, next) => {kies.set("name", "lilei", {// maxAge: 是毫秒maxAge: 500 * 1000,})ctx.body = "牛逼"
})
('/demo', (ctx, next) => {// 读取 cookieconst value = ('name')ctx.body = "你的cookie是" + value
})app.listen(4000, () => {console.log('4000');
})
session 其实是基于 cookies 的,,但是一般不会 cookie 或者 session 单独来使用,一般是 cookie+session 结合使用
const Koa = require('koa');
const Router = require('koa-router');
// 安装 koa-session
const Session = require('koa-session');
const app = new Koa();
const testRouter = new Router();
// 创建Session的配置
const session = Session({// 起个名 叫 sessionidkey: 'sessionid',maxAge: 10 * 1000, // 1单位也是毫秒signed: true, // 是否使用加密签名,防止客户端伪造
}, app);// 设置签名以后,在浏览器 cookies 里面查看 ,会有一个 sessionid.sig 的一个属性,这个就是签名// 设置签名, 通过 "aaaa" 来 加密
app.keys = ["aaaa"];
app.use(session);// 登录接口
('/test', (ctx, next) => {// name/password -> id/nameconst id = 110;const name = "coderwhy";// sessionid = { id,name} 会把这个对象转换成 base64ctx.session.user = { id, name };ctx.body = "test";
});('/demo', (ctx, next) => {console.log(ctx.session.user);ctx.body = 'demo';
});
app.utes());
app.use(testRouter.allowedMethods());
app.listen(8080, () => {console.log("服务器启动成功~");
})
后面两个才是 最致命的缺点
在浏览器端,我们可以通过 js 设置cookie ,但是在其他端,cookie 需要你手动设置,每次发一个请求,你就需要设置一次。浏览器客户端和其他客户端,是不统一的
服务器集群,对于高并发的一些东西,比如有几万人访问这个接口,一个服务器是承受不了的,所以,需要多个服务器,这些服务器的代码可能一样,他们组成服务器集群,有 nginx来做一个反向代理,看看那个服务器空闲,就把这个请求分发给那个服务器。。。比如A服务器设置了sessionid,发过去了, 客户端请求的时候,被nginx分发到了B服务器,B服务器怎么解析。。
分布式,就是把系统分开,分成好多个子系统,session由用户管理系统,但我访问其他系统,其他系统怎么解析?
以上这两个缺点,都有解决方案,但是 使用 cookie+session 的越来越少
token可以翻译为令牌;
也就是在验证了用户账号和密码正确的情况,给用户颁发一个令牌;
这个令牌作为后续用户访问一些接口或者资源的凭证;
我们可以根据这个凭证来判断用户是否有权限来访问;
步骤:
JWT 生成 token 的组成
header
alg:采用的加密算法,默认时 HMAC SHA256(HS256),采用同一个密钥进行加密和解密
typ:JWT ,固定值
会通过 base64Url 算法进行编码
payload
signature (是签名的意思)
在真实开发中,我们可以直接使用一个库来完成: jsonwebtoken;
一般来说,都会在请求头设置, 一个 Authorization 字段, 属性值是 :Bearer token……
const Koa = require('koa');
const Router = require('koa-router');
const jwt = require('jsonwebtoken');
const app = new Koa()
const testRouter = new Router()
// 设置一个签名
const SERCET_KEY = 'daidaigou'
// 登录接口
('/test', (ctx, next) => {// 登陆成功以后// 令牌 包括 id name// 设置 payload const user = { id: 123, name: "呆呆狗" }// 第一个参数,就是你要传递什么数据// 第二个参数,密钥// 第三个参数,额外的参数const token = jwt.sign(user, SERCET_KEY, {// 设置过期时间 单位秒expiresIn: 50 * 1000,})ctx.body = token;
})
// 验证接口
('/demo', (ctx, next) => {// 一般来说, token都是设置在请求头中, 名为:Authorization,值为 Bearer tokenconst authorization = ctx.headers.authorization;const token = place("Bearer ", "");// JWT 验证失败,会直接抛出异常的 可以用 try catch 捕获try {// 验证 token // 第一个参数 token// 第二个颁发的签名const result = jwt.verify(token, SERCET_KEY);ctx.body = result;} catch (error) {console.ssage);ctx.body = "token是无效的~";}// 解析成功则会返回/* {"id": 123,"name": "呆呆狗","iat": 1625559910, 颁发的时间"exp": 1625609910 过期的时间}*/
})
app.utes())
app.listen(4000, () => {console.log('服务器开启 4000');
})
HS256 加密算法一旦密钥暴露,就会非常危险,
这个时候,我们可以使用非对称加密 RS256
# 打开 git bash
// 进入 openssl
openssl// 生成私钥 genrsa -out private.key 1024 // genrsa 表示生成 -out 表示输出 1024 表示位数 // 生成公钥rsa -in private.key -pubout -out public.key// rsa -in private.key 把 private.key 作为一个输入,要依靠 私钥生成公钥// -pubout 表示生成公钥// -out public.key 输出位置
const Koa = require('koa');
const Router = require('koa-router');
const jwt = require('jsonwebtoken');
const fs = require('fs');
const { pathToFileURL } = require('url');// fs 读取文件的时候,有时候可以使用相对路径,有时候不可以
// 我们可以在 这个项目的 上一个 文件夹,来启动这个项目,这个时候,使用相对路径就会有问题
// 在项目中的任何一个地方的相对路径,都是相对于 process.cwd
// 就是你在那个文件夹下启动这个项目 process.cwd 就是那个文件夹// 解决方案
// 1. 使用 solve(__dirname,拼接路径)
// 2. const app = new Koa();
const testRouter = new Router();// 在项目中的任何一个地方的相对路径, 都是相对于process.cwd()
console.log(process.cwd());const PRIVATE_KEY = fs.readFileSync('./keys/private.key');
const PUBLIC_KEY = fs.readFileSync('./keys/public.key');// 登录接口
('/test', (ctx, next) => {// 登陆成功以后// 令牌 包括 id nameconst user = { id: 110, name: 'why' };// 第一个参数,就是你要传递什么数据// 第二个参数,密钥// 第三个参数,额外的参数const token = jwt.sign(user, PRIVATE_KEY, {// 设置过期时间 单位秒expiresIn: 50 * 1000,// 设置 非对称 加密 算法algorithm: "RS256"});ctx.body = token;
});// 验证接口
('/demo', (ctx, next) => {const authorization = ctx.headers.authorization;const token = place("Bearer ", "");// JWT 验证失败,会直接抛出异常的 可以用 try catch 捕获try {// 验证 token // 第一个参数 token// 第二个颁发的签名// 第三个参数 设置其他参数const result = jwt.verify(token, PUBLIC_KEY, {// 设置 验证方式,是一个数组algorithms: ["RS256"]});ctx.body = result;} catch (error) {console.ssage);ctx.body = "token是无效的~";}
});app.utes());
app.use(testRouter.allowedMethods());app.listen(8080, () => {console.log("服务器启动成功~");
})
本文发布于:2024-01-31 05:20:44,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170664964625851.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
