token验证机制

最近在vue-cli项目实现登录的过程中用到了token验证,在此总结如下


1. 登录时,客户端通过用户名与密码请求登录
2. 服务端收到请求去验证用户名与密码
3. 验证通过,服务端会签发一个Token,再把这个Token以响应发给客户端.
4. 客户端收到Token,存储到本地,如Cookie,SessionStorage,LocalStorage.我们是存在cookie
5. 客户端每次像服务器请求API接口时候,都要带上Token.
6. 客户端每次跳转路由的时候也要验证Token登录态
7. 服务端收到请求,验证Token,如果通过就返回数据,否则提示报错信息.

第一步:通过用户名+密码获取token,存cookie


axios.post(this.Service.SERVER.login, {
    username: this.ruleForm.username,
    password: this.ruleForm.password
})
.then((res) => {
    if(res.token) {
        this.xes.setCookies('token', res.token, 2)
        this.$router.push({name: 'approveOnline'})
    }
})

第二步:路由跳转进行登录态校验

首先先比较一下下面两段代码


router.beforeEach((to, from, next) => {
    let isLogin = xes.getCookies('token')
    if(!isLogin) {
         // 如果是登录页面路径,就直接跳下一步
         next('/login');
    }else{
         next()
    }
})

router.beforeEach((to, from, next) => {
    let isLogin = xes.getCookies('token')
    if(!isLogin) {
        // 如果是登录页面路径,就直接跳下一步
        if(to.path=='/login'){
            next();
        }else {
            next('/login');
        }
    }else{
      next()
    }
})

结果:第一段代码在页面进行路由跳转的时候会陷入死循环
原因:next后面带路径跳转时会重新调用router.beforeEach,next后不加参数跳转时不会执行beforeEach

第三步:axios请求拦截器配置token,校验请求时的登录态


axios.interceptors.request.use((config) => {
    // 以防cookie失效,所以每次发请求都重新获取token
    if(xes.getCookies('token')) {
        config.headers.common['Authorization'] = 'Token ' + xes.getCookies('token');
    }
    return config
}, (error) => {
    Message.error({
        message: '加载超时'
    })
    return Promise.reject(error)
})

此处遇到的坑:
axios请求头部token的设置——因为axios.defaults.headers设置只在页面初始化的时候获取一次,会导致在页面发起请求的时候不会重新去获取登陆态,这样就出现个问题,不论是否处于登陆态,已登陆的状态会一直存在,为了避免这个问题,就需要在请求内部去设置获取token,于是把携带token的头部设置放在axios的请求拦截器里,每次请求都重新获取以便拿到最新的登陆态,这里有个坑就是在请求拦截器里设置头部要用自定义设置,而不能用axios.defaults.headers默认设置,因为默认设置是优先于请求拦截器执行的,假如用了默认设置,其实设置的是下一次请求的请求头而非本次请求(token是在axios.defaults.headers中携带的)

第四步:axios响应拦截器更新cookie


axios.interceptors.response.use((res) => {
    var _url = res.config.url.replace(axios.defaults.baseURL, '')
    if (res.data.stat == 1) {
        xes.setCookies('token', xes.getCookies('token'), 2)
    }
    return res.data
}

这样做是考虑到用户体验,防止用户在使用系统过程中由于cookie到期而中断退出系统

总结

因为本次开发后端只是根据前端调接口时是否传token来判断是否登录,并未进行登录校验,所以考虑的点比较多。考虑不周请指正

原文地址:https://segmentfault.com/a/1190000016814541

原文地址:https://www.cnblogs.com/lalalagq/p/9900948.html

时间: 2024-11-06 23:35:20

token验证机制的相关文章

关于vue的前端项目中token使用以及验证机制 携带token登录详情 vue-router的跳转说明

在login.vue中通过发送http请求获取token//根据api接口获取tokenvar url = ‘http://www.baidudd.com’ + "/session";this.$axios.post(url, {username: this.loginForm.username,password: this.loginForm.pass}).then(res => {// console.log(res.data);this.$message.success('

token登录验证机制

最近在vue-cli项目实现登录的过程中用到了token验证,在此总结如下 1. 登录时,客户端通过用户名与密码请求登录 2. 服务端收到请求去验证用户名与密码 3. 验证通过,服务端会签发一个Token,再把这个Token以响应发给客户端. 4. 客户端收到Token,存储到本地,如Cookie,SessionStorage,LocalStorage.我们是存在cookie 5. 客户端每次像服务器请求API接口时候,都要带上Token. 6. 客户端每次跳转路由的时候也要验证Token登录态

定制Asp.NET 5 MVC内建身份验证机制 - 基于自建SQL Server用户/角色数据表的表单身份验证

背景 在需要进行表单认证的Asp.NET 5 MVC项目被创建后,往往需要根据项目的实际需求做一系列的工作对MVC 5内建的身份验证机制(Asp.NET Identity)进行扩展和定制: Asp.NET内建的身份验证机制会使用Local DB(本地数据库)读写用户相关的信息,而在数据库驱动的项目中,管理业务信息的数据库通常是特定的数据库环境,比如远程SQL Server数据库实例或Access数据库等等,业务数据库中保存着一系列针对业务需求的数据表,因此需要定制MVC 5内建身份验证,使其操作

TOKEN验证防止CSRF攻击的原理

TOKEN验证防止CSRF攻击的原理.CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动.比如说是以我们的身份进行转账,发送邮件等操作. 要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段.CSRF攻击的原理是这样的: (1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,用来保存我们的登陆信息. (2):为了能够在多个页面相互切

Django上自建一个token校验机制

场景介绍 自己开发的接口有些需要实名认证,不能直接让匿名用户访问,那如果使用django的login_require装饰器设置在接口方法前面 会直接返回登录页面,所以在这个时候,可以考虑自己开发一个验证机制了,防止匿名用户调用. 验证流程 先让用户提交用户密码到获取token的接口 拿到用户名密码后去后台验证是否有效,如果有效就判断这个用户是否有token在数据库中,有的话就更新这个token,否则就新建一条记录在数据库,然后返回这个新建好的token的给请求者. 用户拿到刚才请求到的token

Oracle基础学习2--Oracle登录与三种验证机制

首先,Oracle安装完毕有三个默认用户 ?  Sys:数据库对象的拥有者.权限最高.password在安装的时候(口令管理)能够改变 ?  System:数据库管理员,password为manager ?  Scott:一个普通用户,password为tiger 再看连接Oracle的三种验证机制 ?  操作系统验证(具体解释见以下) ?  password文件验证 ?  数据库验证 注:前两者适用于系统用户,比方:Sys.System等:最后一个适用于普通用户.比方:Scott. 再看Ora

thinkphp3.2微信开发者模式 绑定url token 您的服务器没有正确相应token验证

当打开调试模式后就会出现此问题thinkphp3.2微信开发者模式 绑定url token 您的服务器没有正确相应token验证,布布扣,bubuko.com

asp.net core web api token验证和RestSharp访问

对与asp.net core web api验证,多种方式,本例子的方式采用的是李争的<微软开源跨平台移动开发实践>中的token验证方式. Asp.net core web api项目代码: 首先定义三个Token相关的类,一个Token实体类,一个TokenProvider类,一个TokenProviderOptions类 代码如下: /// <summary> /// Token实体 /// </summary> public class TokenEntity

基于.Net Framework 4.0 Web API开发(4):ASP.NET Web APIs 基于令牌TOKEN验证的实现

概述:  ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作.但是在使用API的时候总会遇到跨域请求的问题, 特别各种APP万花齐放的今天,对API使用者身份角色验证是不能避免的(完全开发的API不需要对使用者身份角色进行管控,可以绕过),这篇文章就来谈谈基于令牌TOKEN身份验证的实现. 问题: 对于Web API的选择性的开放,使用者无论使用AJAX,还是HttpClient对接,总要对使用者的身份角色