1、用户第一次登录,服务器通过数据库校验其UserId和Password合法,则再根据随机数字+userid+当前时间戳 再经过DES加密生成一个token串
2、Token是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回Token给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位
3、token的生成一般是采用uuid保证唯一性,当用户登录时为其生成唯一的token,存储一般保存在数据库中。token过期时间采用把token二次保存在cookie或session里面,根据cookie和session的过期时间去维护token的过期时间。
4、Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。
Token的身份验证流程图
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录(只保留用户签名过程中的加密算法和密钥即可)。
大概的流程是这样的:
1、当客户端第一次请求时,发送用户信息至服务器(用户名、密码),服务器对用户信息使用HS256算法及密钥进行签名,再将这个签名和数据一起作为Token一起返回给客户端
2、服务器不保存Token,客户端保存Token(比如放在 Cookie 里或者 Local Storage 里)
3、当客户端再次发送请求时,在请求信息中将Token一起发给服务器
4、服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据
请求参数中带token
1、用户在调用需要登录操作的接口时,无需传递userid和password即可完成操作(因为token代表登录成功)
2、服务器控制过期时间,假如一个极端情况,服务器端的token规则泄露,则可以控制用户可以重新登录,获取新的token
1,安装egg-jwt
npm i egg-jwt --save
2,配置
config\plugin.js
jwt: { //jwt插件启用
enable: true,
package: 'egg-jwt',
},
config\config.default.js
config.jwt = { //jwt加盐以及设置过期时间
secret: 'jwt',
expiresIn:'1h'
};
3.生成token码
const jwt = require('jsonwebtoken'); //引入jwt
const token =jwt.sign({账号,密码},"keys") //第一个参数填要加密的账号和密码,第二字段填密钥
4.解密token码
jwt.verify(token,"keys") //第一个参数填token码,第二个参数填密钥