前端面试你的项目进行用户身份验证
面试情景
面试官:项目中有做登录验证的功能吗?是怎么实现用户身份验证的呢?
回答:使用了jsonwebtoken这种机制,也就是jwt,如果用户是第一次登录,服务端会将用户信息用密钥签名,然后将签名附在用户信息(即payload)后面,最后生成jwt token发回给客户端。
回答:客户端下次发送请求时会携带这个jwt token,服务端对jwt token中的签名部分解密,得到用户登录信息,再和jwt token中的用户信息比对,从而验证用户身份。
面试官:你的项目中jwt选择保存在什么地方?有没有考虑安全性?
回答:前端拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里面。但存放在web存储之中的缺点是容易遭受到XSS攻击。
当然jwt也可以存放在cookie中,可以制定httponly来防止被JavaScript读取,也可以制定secure来保证token只在HTTPS下传输。但这样做的缺点是容易遭受CSRF攻击。
面试官:说说jwt和token的区别?
jwt和token其实都会根据用户信息签名之后生成一个token发回给客户端,相似度很高,只不过使用token机制时,解密token后需要用解密出来的数据再去数据库查询用户信息;但如果使用jwt机制,jwt token中已经包含了用户信息,可以直接比对验证,不用查询数据库。
在node.js中使用jsonwebtoken
用npm工具安装完jsonwebtoken后,调用sign函数就可以对用户信息进行签名,然后直接生成最后的jwt token,调用verify函数可以对jwt token进行验证
-
const jwt = require('jsonwebtoken')
-
let jwtToken = jwt.sign('user1','privateKey');
-
let payLoad = jwt.verify(jwtToken,'privateKey')
-
console.log(jwtToken,payLoad);
但sign函数生成jwt token的细节是怎么样的呢?sign函数的第二个参数是密钥,将密钥和经过base64编码后的用户信息(实际上也包含header信息)进行拼接,然后再进行一次单向的哈希运算,就得到了签名signature。可以看出密钥在这里所扮演的角色其实就是盐值salt。
jwt token就是由表示签名算法的header,表示用户信息的payload,前两部分签名所得的signature这三部分拼接而成的,彼此之间用.隔开。
后端的一些应该在登录后才能用的接口必须被保护起来,就需要先做jwt token的验证,只有验证成功之后才允许放行去访问登录后才能请求的接口。
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhfbbbje
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
怎样阻止微信小程序自动打开
PHP中文网 06-13 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01