koa2 用户注册、登录校验与加盐加密的实现方法
加密与解密
先介绍一下关于服务端用户名跟密码的存储状态,我们知道当前端在注册一个新用户时,会在表单内填入用户名和密码,并通过post请求提交到服务器,服务器再把用户名和密码从ctx.request.body中拿出来,存入到数据库的一张表里。这张表通常会被命名为users。
关键在于,服务器如何存入用户名和密码到数据库。直接存?不可能的,这样太不安全了,永远不要在一张表中出现全部用户名和密码一览无余的危险情况。
所以比较好的处理方法是这样的,服务器先对用户的密码进行加盐加密,再存到数据库。
那密码验证呢?则是接收前端输入的明文密码,与数据库中相应的加密密码进行比对,如果正确,则表示登录成功。注意:如果有人拿到这个加密的密码,也是没用的。因为比对正误的方法已经在服务器写死,只能是比对明文密码与加密密码是否吻合。如果接收到两个一模一样的加密密码,验证也不会通过。
至于如何比对明文密码与加密密码,不用担心,加密解密的方法都是一起配对生产的。bcryptjs就是这样一款不错的加解密工具。(因为在windows上安装bcrypt会报错,据说其他系统没问题,所以改为安装bcryptjs,其api和使用方法与bcrypt完全一样)
我在一个js模块中定义了两个方法,一个加密,一个解密。在加密算法中,首先我们需要生成盐,所谓盐,就是先在明文密码中混入一些无规则的字符。传入的数字越大,代表混入的盐越复杂。最后通过hashSync方法生成加密密码并返回。而解密方法就更加简单,直接调用封装的compareSync方法进行明文密码与加密密码比对。
用户注册
在服务端路由模块,暴露一个register接口,用于接收前端注册信息,对密码进行加盐加密,并存入数据库的操作。
const router = require("koa-router")();
const UserModel = require("../schema/user");
const Crypt = require("./crypt");
const jwt = require("jsonwebtoken");
// 新增一名用户
router.post("/register", async ctx => {
const UserEntity = new UserModel(ctx.request.body);
UserEntity.password = Crypt.encrypt(UserEntity.password);
await UserEntity.save()
.then(() => {
ctx.body = {
code: 200,
msg: "register successfuly"
};
})
.catch(() => {
ctx.body = {
code: 500,
msg: "register failed"
};
});
});
(看一下我这段代码,有几个需要说明的地方:第一,我是通过userModel这一个模型的save方法将这条数据存入mongoDB数据库中,至于model、schema的概念问题,先不在这里赘述;第二:存储失败的原因可能是网络问题,服务端程序出错,但最大的可能还是因为我在userSchema里定义了用户名的不可重复性,也就是所谓的“该用户名已存在”)。
为了阐述方便,这里将userModel的定义代码贴出来:
登录校验
让我们回到服务端路由模块,看下怎样去完成一个登录校验。
// 登录校验
router.post("/login", async ctx => {
const data = ctx.request.body;
await UserModel.findOne({ account: data.account })
.then(res => {
const checkPassword = Crypt.decrypt(data.password, res.password);
if (checkPassword) {
const token = jwt.sign({ account: res.account }, "zhangnan", {
expiresIn: "2h"
});
ctx.body = { code: 200, msg: "successfuly login", token: token };
} else {
ctx.body = { code: 500, msg: "wrong password" };
}
})
.catch(() => {
ctx.body = { code: 501, msg: "user does not exist" };
});
});
首先,我们根据用户输入的用户名去数据库查找用户信息,如果查不到,说明用户名不存在,这是第一层逻辑。
如果查到了,则调用刚刚定义好的解密方法进行明文密码与加密密码比对,如错误,则告诉前端密码错误;如正确,则调用jwt的sign方法签发一个token给前端。签发的内容是用户名;后面前端再发来请求并携带这个token时,如果验证到token有效,那解析出来的用户名就是服务器判断前端请求身份的标识,它告诉服务器“我是xxx,且我处于已登录状态”。这是第二层逻辑。
总结
以上所述是小编给大家介绍的koa2 用户注册、登录校验与加盐加密的实现方法,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
相关文章
最近因为工作需要,需要将网站切换到了https。其实去年就想迁的迁移过去,但是资金紧缺就找了个免费的证书,实际效果不是很好。但是最近腾讯云推出了免费的ssl证书申请。楼主是亲测有效的。下面通过本文来一起看看Node.js开启Https的详细步骤吧,有需要的可以参考借鉴。2016-10-10
这篇文章主要介绍了NodeJS读取分析Nginx错误日志的相关知识,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-05-05
npm ERR! Node.js v20.11.0错误的解决
在使用 npm 进行包管理和构建项目的过程中,有时会遇到错误信息 npm ERR! Node.js v20.11.0,本文就来介绍一下如何解决,感兴趣的可以了解一下2024-02-02
本文将从零开始,讲解如何使用Node.js来实现一个文章生成器,node里面有很多优秀的模块,现在我们就借助node的fs模块来操控文本,来实现我们想要的效果,感兴趣的小伙伴跟着小编一起来看看吧2024-07-07
这篇文章主要为大家详细介绍了Node.js的基本应用,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,希望能够给你带来帮助2022-02-02
下面小编就为大家带来一篇使用Node.js实现简易MVC框架的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-08-08
这篇文章主要介绍了nodejs中关于mysql数据库的操作方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-08-08
这篇文章主要给大家介绍了关于PostgreSQL Node.js实现函数计算的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2019-02-02
这篇文章主要介绍了关于Node.js中的JXcore打包示例,JXcore 是一个支持多线程的 Node.js 发行版本,基本不需要对你现有的代码做任何改动就可以直接线程安全地以多线程运行,需要的朋友可以参考下2023-05-05
本文给大家简单介绍了NodeJS里最常用的测试框架--mocha的安装以及简单的使用方法,支持直接在browser上跑Javascript代码测试,这里推荐给大家2017-03-03
最新评论