express+session实现简易身份认证

环境初始化

首先，初始化项目

express -e

然后，安装依赖。

npm install

接着，安装session相关的包。

npm install --save express-session session-file-store

session相关配置

配置如下，并不复杂，可以见代码注释，或者参考官方文档。

var express = require(‘express‘);var app = express();var session = require(‘express-session‘);var FileStore = require(‘session-file-store‘)(session);var identityKey = ‘skey‘;app.use(session({
    name: identityKey,
    secret: ‘chyingp‘,  // 用来对session id相关的cookie进行签名
    store: new FileStore(),  // 本地存储session（文本文件，也可以选择其他store，比如redis的）
    saveUninitialized: false,  // 是否自动保存未初始化的会话，建议false
    resave: false,  // 是否每次都重新保存会话，建议false
    cookie: {
        maxAge: 10 * 1000  // 有效期，单位是毫秒
    }}));

实现登录/登出接口

创建测试账户数据

首先，在本地创建个文件，来保存可用于登录的账户信息，避免创建链接数据库的繁琐。

// users.jsmodule.exports = {
    items: [        {name: ‘chyingp‘, password: ‘123456‘}
    ]};

登录、登出接口实现

实现登录、登出接口，其中：

登录：如果用户存在，则通过req.regenerate创建session，保存到本地，并通过Set-Cookie将session id保存到用户侧；
登出：销毁session，并清除cookie；

var users = require(‘./users‘).items;var findUser = function(name, password){
    return users.find(function(item){
        return item.name === name && item.password === password;
    });};// 登录接口app.post(‘/login‘, function(req, res, next){
    
    var sess = req.session;
    var user = findUser(req.body.name, req.body.password);

    if(user){
        req.session.regenerate(function(err) {
            if(err){
                return res.json({ret_code: 2, ret_msg: ‘登录失败‘});                
            }
            
            req.session.loginUser = user.name;
            res.json({ret_code: 0, ret_msg: ‘登录成功‘});                           
        });
    }else{
        res.json({ret_code: 1, ret_msg: ‘账号或密码错误‘});
    }   });// 退出登录app.get(‘/logout‘, function(req, res, next){
    // 备注：这里用的 session-file-store 在destroy 方法里，并没有销毁cookie
    // 所以客户端的 cookie 还是存在，导致的问题 --> 退出登陆后，服务端检测到cookie
    // 然后去查找对应的 session 文件，报错
    // session-file-store 本身的bug    

    req.session.destroy(function(err) {
        if(err){
            res.json({ret_code: 2, ret_msg: ‘退出登录失败‘});
            return;
        }
        
        // req.session.loginUser = null;
        res.clearCookie(identityKey);
        res.redirect(‘/‘);
    });});

登录态判断

用户访问 http://127.0.0.1:3000 时，判断用户是否登录，如果是，则调到用户详情界面（简陋无比）；如果没有登录，则跳到登录界面；

app.get(‘/‘, function(req, res, next){
    var sess = req.session;
    var loginUser = sess.loginUser;
    var isLogined = !!loginUser;

    res.render(‘index‘, {
        isLogined: isLogined,
        name: loginUser || ‘‘
    });});

UI界面

最后，看下登录、登出UI相关的代码。

<!DOCTYPE html><html><head>
    <title>会话管理</title></head><body><h1>会话管理</h1><% if(isLogined){ %>
    <p>当前登录用户：<%= name %>，<a href="/logout" id="logout">退出登陆</a></p><% }else{ %>
    <form method="POST" action="/login">
        <input type="text" id="name" name="name" value="chyingp" />
        <input type="password" id="password" name="password" value="123456" />
        <input type="submit" value="登录" id="login" />
    </form><% } %> <script type="text/javascript" src="/jquery-3.1.0.min.js"></script><script type="text/javascript">
    $(‘#login‘).click(function(evt){
        evt.preventDefault();

        $.ajax({
            url: ‘/login‘,
            type: ‘POST‘,
            data: {
                name: $(‘#name‘).val(),
                password: $(‘#password‘).val()            },
            success: function(data){
                if(data.ret_code === 0){
                    location.reload();
                }   
            }
        });
    });</script></body></html>

时间： 2024-10-17 01:50:12

express+session实现简易身份认证的相关文章

【React全家桶入门之十】登录与身份认证

仔细想想,我们的后台系统还没有一个登录功能,太不靠谱,赶紧把防盗门安上! SPA的鉴权方式和传统的web应用不同:由于页面的渲染不再依赖服务端,与服务端的交互都通过接口来完成,而REASTful风格的接口提倡无状态(state less),通常不使用cookie和session来进行身份认证. 比较流行的一种方式是使用web token,所谓的token可以看作是一个标识身份的令牌.客户端在登录成功后可以获得服务端加密后的token,然后在后续需要身份认证的接口请求中在header中带上这个to

angular 身份认证问题

最普遍的身份认证方式就是用用户名(或 email)和密码做登陆操作.这就意味要实现一个登陆的表单,以便用户能够用他们个人信息登陆.这个表单看起来是这样的: <form name="loginForm" ng-controller="LoginController" ng-submit="login(credentials)" novalidate> <label for="username">Usern

Express结合Passport实现登陆认证和Passport现实社交网络OAuth登陆

Express结合Passport实现登陆认证从零开始nodejs系列文章,将介绍如何利Javascript做为服务端脚本,通过Nodejs框架web开发.Nodejs框架是基于V8的引擎,是目前速度最快的Javascript引擎.chrome浏览器就基于V8,同时打开20-30个网页都很流畅.Nodejs标准的web开发框架Express,可以帮助我们迅速建立web站点,比起PHP的开发效率更高,而且学习曲线更低.非常适合小型网站,个性化网站,我们自己的Geek网站!! 关于作者张丹(Co

微服务架构下的身份认证

从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验.为了适应架构的变化.需求的变化,身份认证与鉴权方案也在不断的变革.面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案. 单体应用 VS 微服务随着微服务架构的兴起,传统的单体应用场景下的身份认证和鉴权面临的挑战越来越大.单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验.请求一般会通过一个

TCP WRAPPERS、denyhosts软件的安装和配置、PAM身份认证模块应用

一.TCP WRAPPERS 1.TCP WRAPPERS的作用是什么? 保护服务器的一些服务,可以限制客户端访问这些服务. TCP WRAPPERS支持那些服务?判断一个服务是否支持TCP WRAPPERS的保护有那些方法? 查看该服务是否加载libwrap,查看该服务是不是基于xinetd服务. ssh ,vsftpd,telnet,http(不支持wrap模块)ipop3 2.检查服务是否支持被TCP WRAPPERS保护 3.防护规则存放在 /etc/hosts.allow /etc/h

基于FormsAuthentication的用户、角色身份认证

一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面. Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带上这个 Cookie,服务器端根据Cookie中的SessionID找到存储在服务器端的对应当前用户的数据. FormsAuthen

atitit.身份认证解决方案attilax总结

1.1. 身份认证1 1.2. basic认证1 1.2.1. 编程实现basic客户端2 1.3. digest认证机制3 1.4. SSL认证3 1.5. FormBase认证,也就是表单认证3 This is a premature infants from China, 100 days, and had liver failure, cholestasis and other diseases, at present in Shanghai treatment, but need t

关于身份认证、角色认证和权限认证的shiro-web例子

shiro是Java的一个安全框架,其中认证.授权也是其核心知识.下面以一个maven构建的运用shiro框架的Web项目示例进行分析和讲解,来理解shiro关于身份认证.和角色认证及权限认证的处理过程. 一.shiro集成web项目需配置的地方说明:在进行如下配置之前,需建立maven管理的web项目(参考创建maven管理的web项目).这里不再赘述. 1.pom.xml文件添加shiro依赖的jar包 2.web.xml配置添加初始化shiro环境配置 3.shiro.ini配置二

RESTful Api 身份认证安全性设计

REST是一种软件架构风格.RESTful Api 是基于 HTTP 协议的 Api,是无状态传输.它的核心是将所有的 Api 都理解为一个网络资源.将所有的客户端和服务器的状态转移(动作)封装到 HTTP 请求的 Method 之中. 详情可以阅读 http://mengkang.net/620.html . 而这篇文章则主要是讨论 RESTful Api 身份认证安全性设计. 没有绝对的安全,这个话题很深, 下文都是自己的一些理解,水平有限,如有勘误,希望大家予以指正. 由于 RESTfu