Session 登陆与 Token 登陆的区别
1、Session 登陆是在服务器端生成用户相关 session 数据,发给客户端 session_id 存放到 cookie 中,这样在客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户认证。这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 session 数据(如内存或数据库),这样无疑增加维护成本和减弱可扩展性(多台服务器)。 CSRF 攻击一般基于 cookie。另外,如果是原生 app 使用这种服务接口,因为没有浏览器 cookie 功能,所以接入会相对麻烦。
2、基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据。用户验证后,服务端生成一个 token(hash 或 encrypt)发给客户端,客户端可以放到 cookie 或 localStorage 中,每次请求时在 Header 中带上 token,服务端收到 token,通过验证后即可确认用户身份。这种方式相对 cookie 的认证方式就简单一些,服务端不用存储认证数据,易维护扩展性强,token 存在 localStorage 可避免 CSRF,web 和 app 应用都比较简单。不过这种方式在加密或解密的时候会有一些性能开销(好像也不是很大),有些对称加密存在安全隐患(aes cbc 字节翻转攻击)。
koa + session 登陆验证
1、首先要安装 koa-sisson 包
npm install koa-session -S
koa-session 实际上是通过 cookie 来保存信息的。koa-session 在服务器上生成一个信息,通过加密后,以 cookie 的形式发送到用户的浏览器,在用户浏览器上可以看到是一个加密的 cookie 字段,然后在服务端路由中通过 ctx.session.xx 来获取 xx 这个信息。而当每次当用户发送请求时候,就可以获取到这个 cookie,koa-sesscion 会内部会帮我们解密为最初的存储的信息,于是我们可以通过判断这个 cookie 是存在来校验用户是否已经登录了。
2、app.js 中初始化
const Koa = require('koa') const app = new Koa() const session = require('koa-session') const bodyParser = require('koa-bodyparser') const Router = require('koa-router') const router = new Router() const CONFIG = { key: 'koa:sess', /** (string) cookie key (default is koa:sess) cookie 的Name */ /** (number || 'session') maxAge in ms (default is 1 days) */ /** 'session' will result in a cookie that expires when session/browser is closed */ /** Warning: If a session cookie is stolen, this cookie will never expire */ maxAge: 86400000, /** cookie 的过期时间 */ autoCommit: true, /** (boolean) automatically commit headers (default true) */ overwrite: true, /** (boolean) can overwrite or not (default true) */ httpOnly: true, /** (boolean) httpOnly or not (default true) */ signed: true, /** (boolean) signed or not (default true) */ rolling: false, /** (boolean) Force a session identifier cookie to be set on every response. The expiration is reset to the original maxAge, resetting the expiration countdown. (default is false) */ renew: false, /** (boolean) renew session when session is nearly expired, so we can always keep user logged in. (default is false)*/ } app.keys = ['login secret'] // 加密密钥 app.use(session(CONFIG, app)); app.use(bodyParser()) app.use(router.routes()).use(router.allowedMethods())
3、登陆路由
router.post('/login', async (ctx) => { try { const data = ctx.request.body.data const { username, password } = data if (true) { // 保存登录状态,这句代码会在浏览器中生成一个以 "koa:sess" 为 Name 的 cookie ctx.session.userInfo = {username: '', userID: ''} ctx.body = {code: 1, message: '登陆成功'} } else { ctx.body = {code: 0, message: '账号或密码错误'} } } catch(err) { throw new Error(err) } }) // 前端 axios.post('/login', {username: '', password: ''}).then(res => {})
4、校验是否已登陆
router.get('/getSession', async (ctx) => { try { if (ctx.session.userInfo) { ctx.body = {code: 1, message: '已登陆'} } else { ctx.body = {code: 0, message: '未登陆'} // 跳转到登录页 // ctx.response.redirect('/login') } } catch(err) { throw new Error(err) } }) // 前端 axios.get('/getSession').then(res => {})
5、退出登陆
router.post('/logout', async (ctx) => { try { // 将登录信息清空 ctx.session = null // 跳转到登录页或网站首页 ctx.response.redirect('https://www.jb51.net/') } catch(err) { throw new Error(err) } }) // 前端 axios.post('/logout').then(res => {})
koa + token 登陆验证
1、安装 jsonwebtoken 包
npm install jsonwebtoken -S
2、app.js 初始化