也不知道是什么原因,刚开始不久的职业生涯,在技术这条路走着走着,和「登录」总是有着一个不解之缘。还记得当初学习Web编程的时候么?不管是Java、.Net、PHP,继经典「Hello World」之后,要写的很有可能就是「登录」功能。至今「登录」的问题还是让我心中一万只草泥马奔过。 下面,给分享一下各种「登录」相关的需求
普通的登录
这个是极其普通的登录需求,要的就是一个登录页面,输入账号密码,提交Form表单,后端查询数据库对应用户名的密码,匹配正确则把用户记录到Session,不正确则返回错误。 这种登录,在上学的时候,也许敬爱的老师就已经教过你了。 但可能他没有教你的是,密码需要hash加密,session为什么可以记录登录用户的原理。
密码Hash
密码hash,就是存进数据库的密码是一串密文,密文是明文密码通过不可逆算法得出的。在Nodejs中,你可以使用bcryptjs,它提供了hash
以及对应的compare
方法,非常适合用于密码的加密和对比。
Session原理 Session的原理其实还是依赖了Cookie,所以Cookie才是记录用户凭证的真理。它的原理大概是酱紫的:服务器端维护一个session的表,这个表的每一条记录存的就是与某一个客户端的会话,会话会有过期时间,过期的会话会被清理。然后这个会话,会有一个对应的id,一般是一串长长的看不懂的字符串,然后这个字符串会被存储在客户端的cookie中,每一次请求服务器端都会带上这个cookie,服务器端就知道访问的就是哪个客户端了。 欲知更多有关「Session原理」请点击传送门:Session原理
使用独立登录系统
应项目需要,登录逻辑需要独立出来做成一个系统,就是另外一个项目。与原来的主站不是在同一个项目中了。一个域名是 www.site.com
,一个则是passport.site.com
了。要在不同的域名下进行登录,一般的方法是www.site.com/login
跳转到 passport.site.com/login
,passport这边是一个登录页面,用户输入账号密码登录成功之后,passport会通过带着一个可逆加密的包含用户信息的token,重定向到www.site.com
提供的回调处理地址,然后进行解密,匹配正确,则登录用户。
要注意的是,这里的加密的信息需要包含一个时间戳,接收方需要认证这个时间戳,过期登录失败。避免token被窃取,被无限登录site系统。
单点登录
单点登录需要实现的需求,说白了就是在站点A的登录了,那么用户就自动在站点B、站点C、站点E、F、G登录。
这又分两种情况,A站点和B站点是否在同一个二级域名下。
假如是在同一个域名下,例如siteA.site.com
与siteB.site.com
,因为cookie允许设置到二级域名下.site.com
,所以siteA和siteB是可以共享cookie的,用户的信息可以通过可逆加密放在二级域名下的cookie,并且设置http only
,就可以一站登录,站站登录。
而如果A站点和B站点不在同一二级域名下,例如www.siteA.com
与www.siteB.com
,他们就无法通过共享cookie的方式共享用户信息,所以需要用到jsonp的方式,用户在siteA登录之后,提供一个jsonp接口获取加密的用户信息,siteB访问这个jsonp获取加密信息。达到共享用户状态的效果。
欲知更多有关「单点登录」请点击传送门:单点登录的三种实现方式
OAuth2.0登录
这就比较普遍了,现在随随便便做个网站,都接入「微信登录」、「微博登录」、「豆瓣登录」、「QQ登录」、「Github登录」、@^&@%#^%^@%&%@&#…
这些统一叫做:「第三方登录」。
第三方登录都是实现了OAuth2.0协议的,流程大概是酱紫的:
第三方提供一个登录入口,也就是第三方域名下的登录页面。主站需要登录的时候,引导用户重定向到第三方的登录页面,用户输入账号密码之后,登录第三方系统,第三方系统匹配帐号成功之后,带上一个code到主站的回调地址,主站接收到code,短时间内拿着code请求第三方提供获取长期凭证的接口(因为code有一个比较短的过期时间),这个长期凭证叫access_token
,获取之后就把这个access_token
存到数据库中,请求一些第三方提供的API,需要用到这个access_token
,因为这个token就是记录用户在第三方系统的一个身份凭证。
一些系统,在获取access_token
的时候,还会返回一个副参数refresh_token
,因为access_token
是有过期时间的,一旦过期了,主站可以使用refresh_token
请求第三方提供的接口获取新的access_token
以及新的refresh_token
。
在Nodejs中,你可以使用passport
来给第三方登录提供一个统一解决方案,而如果你是开发「微信公众号」授权,除了passport,也可以使用wechat-oauth
在最后
其实登录问题,理解了Session原理是很重要的,这个也不难理解。然后站点之间的用户信息交流,就是通过各种跨域限制,各种加密解密而已。在做这个的时候,需要充分考虑到加密的token是否会被窃取的可能性,还要考虑让这个token加上时间的验证,在一些可能会被窃取,安全需求比较高的情况,就需要把token的时间设置的更短。还有就是加密的方式需要依照需求不同而选择可逆或者不可逆,hash sha1还是JWT(Json Web Token)。
sha1加密,可以使用Nodejs自带的crypto
,JWT可以使用jsonwebtoken
如果本文对您有用 请不要吝啬你们的Follow与Start 这会大大支持我们继续创作
「Github」 MZMonster :@MZMonster JC_Huang :@JerryC8080
「简书」 MZMonster:@MZMonster JC_Huang:@JC_Huang
强
赞一个👍 自豪地采用 CNodeJS ionic
mark, 想要尝试做第三方登录.
还有一种,不需要密码,直接填写邮件地址,点击邮件链接返回对应的访问。俺喜欢这么干。
@forrest 那岂不是每一次登录,都要打开自己的邮箱😂
现在流行扫码登录或者手机验证码登录
顶,登录确实不简单
正好复习一下,谢谢
这就比较普遍了,现在随随便便做个网站,都接入「微信登录」、「微博登录」、「豆瓣登录」、「QQ登录」、「Github登录」、@^&@%#^%^@%&%@&#…
提到这个我就想起了豆瓣,为什么豆瓣FM登录之后,还要再在.com上重新输入一次用户名密码呢。。。
@JerryC8080 也可以设置一个到期的时间嘛,而且如果要求登陆的话,邮件链接是设置短一点时间比如10分钟不登录就失效等等。如果你的机器被控制或者邮箱被控制,网站做啥都白扯不是。
mark
mark 自豪地采用 CNodeJS ionic
mark
簡單扼要
mark
楼主总结的比较全面。普通登陆,仅供学习- -内部系统的话,单点登陆和独立登陆都可以。外部接入,比如wechat、weibo,Oauth2.0就是主流了~
好文 自豪地采用 CNodeJS ionic
简洁明了 自豪地采用 CNodeJS ionic
mark
JWT 有完整的例子吗? 和 bcryptjs 加密有什么区别 没搞懂
mark
mark
mark
mark
mark
mark
因为是拼装链接到第三方带code回调到自己服务器做token的生成,而跳到这个拼装的链接是重定向过去的; 不像ajax那样服务端可以返回json。 然而,服务端怎么主动把token交给客户端,客户端用loaclsession保存,后期所有请求都需要带上这个token; 搞了好多天了。
mark.
卧槽 , mark了, 光登录就这么多方式了 , 总结的好 ,我又要一个个的造轮子实践了。 期待其他的总结!
6666
mark 自豪地采用 CNodeJS ionic
赞
很赞
赞
测试
@leyou319 test<br/><br/><a class=“form” href=“https://github.com/shinygang/Vue-cnodejs”>I‘m webapp-cnodejs-vue</a>
好!
请教两个问题, 1,登录保持怎么做,session持久化到redis?访问量很大redis承受的住吗?redis里过期时间不宜太久吧,如果过期,重新查数据库? 2,web端使用cookie,应用使用token,cookie和token存储的内容,使用方式的异同比较能科普下吗
收藏
Li hai
独立登录系统和单点登录有啥不一样吗?
niu bi