A.Lau's Blogs首页总览标签分类
token的使用
|

规定 验证服务器,客户端,业务服务器

  1. 客户端携带登录用户名密码信息发送到验证服务器,验证服务器验证查询数据库通过后 返回 access_token (使用私钥加密用户id,用户名等非隐私信息)和 refresh_token (使用私钥只加密用户id信息)

  2. 客户端收到 access_token 和 refresh_token 都保存到 Cookie 或者 LocalStorage 里面,请求业务服务器只需要携带 access_token,然后业务服务器使用公钥解密,解密成功则判定为合法用户,返回数据。

  3. 如果业务服务器收 access_token 发现已经过期,则返回 401。客户端收到业务服务器返回的 401 状态码,使用 refresh_token 去验证服务器重新获取 access_token,验证服务器验证 refresh_token 有效后,重新生成 access_token,返回给客户端,客户端再重新使用新的 access_token 去请求业务服务器。

  4. 如果使用 refresh_token 去验证服务器重新获取 access_token,发现 refresh_token 也过期了,就返回 401,客户端收到 401,跳转到登录页面。

一般 access_token 过期时间设置成 30 min,refresh_token 过期时间设置成 1 day。

下面一段代码使用 nodejs 和 jwt

验证服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
const express = require('express')
const jwt = require('jsonwebtoken')
let fs = require("fs")

const app = express()

// 公钥私钥可以使用任何很多工具生成,也可以使用 crypto 用代码生成
let publicKey = fs.readFileSync('public.pem').toString()
let secretKey = fs.readFileSync('secret.key').toString()

app.get('/login', (req, res) => {
  // 数据库验证成功后
  const payload = {
    user_id: 1001,
    user_name: 'allen'
  }
  const refreshPayload = {
    user_id: 1001
  }
  let token = jwt.sign(payload, secret, { algorithm: 'RS256', expiresIn: '1min' })
  let refreshToken = jwt.sign(refreshPayload, secretKey, { algorithm: 'RS256', expiresIn: '1day' })
  res.json({
    code: 200,
    message: 'success',
    data: {
      token: token,
      refresh_token: refreshToken
    }
  })
})

app.get('/refresh', (req, res) => {
  let refresh_token = req.query.refresh_token
  jwt.verify(refresh_token, publicKey, function(err, decoded) {
    if (err) {
      res.json({
        code: -1,
        message: 'error',
        data: err
      })
    } else {
      let user_id = decoded.user_id

      // 数据库查询

      const payload = {
        user_id: user_id,
        user_name: 'allen'
      }
      let token = jwt.sign(payload, secret, { algorithm: 'RS256', expiresIn: '1min' })
      res.json({
        code: 200,
        message: 'success',
        data: {
          token: token
        }
      })
    }
  })
})

app.listen(8080)

业务服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
const express = require('express')
const jwt = require('jsonwebtoken')
let fs = require("fs")

const app = express()

// 公钥私钥可以使用任何很多工具生成,也可以使用 crypto 用代码生成
let publicKey = fs.readFileSync('public.pem').toString()

// 业务服务器
app.get('/verify', (req, res) => {
  let token = req.query.token
  jwt.verify(token, publicKey, function(err, decoded) {
    if (err) {
      res.json({
        code: -1,
        message: 'error',
        data: err
      })
    } else {
      res.json({
        code: 200,
        message: 'success',
        data: decoded
      })
    }
  })
    
})

app.listen(8081)

代码在这 https://github.com/allenliu123/StudyCode/tree/main/token%E7%9A%84%E4%BD%BF%E7%94%A8

参考资料

Token 认证的来龙去脉
JWT的rs256算法…

文章作者: Allen Lau
文章链接: https://blog.ifthat.com/token的使用/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 A.Lau's Blogs
nodejs