1.3 Session和Cookie

最新推荐文章于 2025-08-09 10:58:30 发布
最新推荐文章于 2025-08-09 10:58:30 发布
阅读量183 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61045742/article/details/120388086
本文深入讲解了Session和Cookie的工作原理及应用场景,对比了两者之间的主要区别,并提供了前端保存用户信息的具体示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.3 Session和Cookie
1.3.1 Session介绍
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时,如果该用户还没有会话,则Web服务器将自动创建一个 Session对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。例如,如果用户指明不喜欢查看图形,就可以将该信息存储在Session对象中。有关使用Session 对象的详细信息,请参阅“ASP应用程序”部分的“管理会话”。注意会话状态仅在支持cookie的浏览器中保留。

小结:
1.Session称之为 “会话机制”
2.在浏览器中打开网页 就是一个会话.
3.用户的数据可以保存到会话中,但是有生命周期. 当会话关闭,则数据消失.

1.3.2 Cookie机制
Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息 [1] 。
说明:
1.cookie是一个小型的文本文件
2.cookie中存储的数据一般都是密文.
3.cookie中的数据的生命周期可控. 几天.几年!!!

1.3.3 session和cookie区别
1.session的数据是临时存储.cookie的数据可以永久保存. (生命周期不同)
2.sesion是浏览器中的一个内存对象!而cookie是一个实际的本地文件. (形式不同).
3.session一般存储是一些涉密数据.cookie一般存储相对公开的数据(免密登录). (安全性)

1.4 前端保存用户信息
login(){
      //获取表单对象之后进行数据校验
      //valid 表示校验的结果 true表示通过  false表示失败
      this.$refs.loginFormRef.validate(async valid => {
         //如果没有完成校验则直接返回
         if(!valid) return

        //如果校验成功,则发起ajax请求
        const {data: result} = await this.$http.post('/user/login',this.loginForm)
        if(result.status !== 200) return this.$message.error("用户登录失败")
        this.$message.success("用户登录成功")

        //获取用户token信息
        let token = result.data
        window.sessionStorage.setItem("token",token)

        //用户登录成功之后,跳转到home页面
        this.$router.push("/home")
      })
    }
 

qinzhi1994
关注
Python中的SessionCookie详解
qq_42568323的博客
10-30 1982
本文详细介绍了SessionCookie的概念、工作原理、优缺点及其在Python中的实现方法。通过具体的案例,我们展示了如何在Flask框架中管理用户状态数据。Cookie:适用于需要存储少量数据并且允许客户端访问的场景。Session:适用于需要存储用户状态的场景,数据安全性较高。理解SessionCookie的使用场景实现方法,对于开发安全、可靠的Web应用至关重要。如果有进一步的问题或需求,欢迎随时讨论!这里是引用。
一个站点保存多个cookie
wwhhff11
07-04 6959
//若果不设置Cookie的path,则名字相同的Cookie视为相同的Cookie,后面的覆盖前面的,注意:大小写敏感 Cookie c1=new Cookie("name", "v1"); Cookie c2=new Cookie("name", "v2"); //若设置了不同的path,即使Cookie名字相同,也视为不同的Cookie Cookie c3=new Cookie("name",
Cookie
weixin_45649686的博客
03-03 269
1.Cookie概念 1.通过cookie对象,可以从服务器端向客户端响应一些信息,这些信息可以存储在浏览器的内存中,浏览器关闭,数据就不存在。 2.可以给cookie中的信息设置有效时间,就可以保存在电脑硬盘上,到期后自动删除。 3.Cookie保存在客户端的小文本,保存位置分两种: Cookie可以保存在客户端浏览器的所占内存中,关闭浏览器后,Cookie就不再存在。 Cookie也可以保存在客户PC机的硬盘上,设置有效时间,超出有效时间后失效。 2.Cookie的常见应用 简化登录:很多网站在登
session对象cookie对象简单介绍
wuchao的专栏
09-26 607
session是指一个客户端用户与服务器进行通信的时间间隔存储用户的信息这个信息是从用户登录开始, 一直生存到用户关闭浏览器才会消失,当再打开时,又会重新创建.(属性:SessionID 获取用于标识会话的唯一会话ID TimeOut 获取并设置在会话状态提供程序终止会话之前
有关Cookie的基本笔记
KLW75
05-22 494
使用cookie保存用户的状态信息。 包括 临时cookie 永久cookie两种方式,临时的只能由当前的浏览器会话使用,永久cookie将在计算机上自动生成一个文本文件,在当前浏览器之外也能使用。永久的cookie 是存储与用户硬盘的一个文件。 cookie可以跨越一个域名下的多个页面,并不能跨越多个域名使用。 ...
CookieSession
Reset
08-27 1053
识别用户身份的两种技术:cookiesessionCookie,类型为“小型文本文件”,是某些网站为了辨别用户身份,进行会话跟踪而存储在用户本地终端上的数据(通常会进行加密),由客户端计算机暂时或者永久保存的信息。session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。
Java之Session&Cookie
白日梦想家
09-11 684
Java之Session&Cookie 1、会话管理 1.1 什么是会话管理? 将浏览器与Web服务器之间多次交互(一次请求与响应)当做一个整体来处理,并且将多次交互所产生的数据(即状态)保存下来。 1.2 为什么使用会话管理? 客户端服务器之间进行数据通讯遵循的是HTTP协议,而此协议属于无状态协议(一次请求对应一次响应,响应完则断开连接),服务器是无法跟踪客户端请求的,但是某些具体的业务是需要服务器能够识别客户端的,,会话管理相关知识就是解决此问题。 ### 1.3 如何进行状态/会话管
CookieSession学习总结
weixin_44630656的博客
03-08 898
CookieSession学习总结CookieCookie的创建:服务器如何获取CookieCookie 值的修改Cookie生命控制Cookie有效路径Path的设置 Cookie Cookie的创建: protected void createCookie(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //1 创建Cookie对象 Cookie cook
php sessioncookie使用说明
12-18
总结,CookieSession都是PHP中管理用户状态的重要工具。Cookie适合存储小量、非敏感数据,且适用于不需要服务器存储的简单应用场景;而Session则更适合存储大量、敏感数据,且能确保数据安全性,但服务器端资源...
HTML5 Web Workers 深度剖析:助力网页性能飞速提升
设计师小燕的博客
08-08 738
HTML5 Web Workers技术通过后台线程执行JavaScript任务,解决了传统单线程模型导致的页面卡顿问题。其核心机制包括独立线程模型postMessage通信方式,能有效提升大数据处理、图像处理等计算密集型任务的性能。文章详细介绍了Web Workers的工作原理、应用场景、创建步骤及优化技巧,同时指出其DOM访问限制通信开销等注意事项。实际案例表明,该技术可显著改善网页响应速度。随着Web技术发展,Web Workers将与WebAssembly等新技术结合,为Web应用性能优化提
前端开发(HTML,CSS,VUE,JS)从入门到精通!第一天(HTML5)
2301_80002260的博客
07-31 1298
W3C 组织使用 DTD(Document Type Definition,文档类型定义)来定义 HTML XHTML 的语义约束,包含HTML 文档可以出现哪些元素元素支持哪些属性等等,比如:HTML4.01 的 DTD 文档:
html5vue区别
计算机辅助工程
08-01 378
HTML5‌:依赖HTML/CSS/JavaScript组合开发,需手动管理DOM事件,架构灵活但易导致代码冗余。‌Vue‌:提供双向数据绑定、路由管理、状态控制( Vuex )等进阶功能,需通过引入Vue.js库实现。‌Vue‌:采用组件化开发模式,支持MVVM架构,通过双向数据绑定虚拟DOM优化性能,结构更模块化。‌Vue‌:聚焦视图层开发,上手快且社区资源丰富,适合快速构建复杂界面。‌HTML5‌:作为基础技术学习门槛较低,但精通需长期实践。‌HTML5‌:包含语义化标签(如。
day14 - html5
u010544438的博客
08-09 12
HTML5HTML的第五次重大修订版本,包含狭义上的HTML新标准广义上的前端技术组合(HTML+CSS+JavaScript)。其核心优势包括:语义化标签(header/nav/article等)提升代码可读性SEO;多媒体标签替代Flash;跨平台特性降低开发成本;新增表单控件属性增强交互体验。兼容性方面,主流浏览器基本支持,但IE9以下需使用html5shiv.js等Polyfill方案。HTML5还引入了状态标签(meter/progress)、文本标签(ruby/mark)全局属性(co
信捷XC系列PLC主从通讯程序设计与实现——工业自动化控制核心技术
08-09
信捷XC系列PLC主从通讯程序的设计与实现方法。信捷XC系列PLC是一款高性能、高可靠性的可编程逻辑控制器,在工业自动化领域广泛应用。文中阐述了主从通讯的基本概念及其重要性,具体讲解了配置网络参数、编写程序、数据交换以及调试与测试四个主要步骤。此外,还探讨了该技术在生产线控制、仓储物流、智能交通等多个领域的应用实例,强调了其对系统效率稳定性的提升作用。 适合人群:从事工业自动化控制的技术人员、工程师及相关专业学生。 使用场景及目标:适用于需要多台PLC协同工作的复杂工业控制系统,旨在提高系统的效率稳定性,确保各设备间的数据交换顺畅无误。 其他说明:随着工业自动化的快速发展,掌握此类通信协议技术对于优化生产流程至关重要。
Qt 5.12.4与Halcon构建视觉流程框架:编译与测试的成功实践
08-09
如何将Halcon视觉技术Qt框架相结合,构建一个强大的视觉处理流程框架。文中首先阐述了选择Qt 5.12.4的原因及其优势,接着描述了框架的具体构建方法,包括利用Qt的跨平台特性界面设计工具创建用户界面,以及用Halcon进行图像处理与识别。随后,文章讲解了编译过程中需要注意的关键步骤,如正确引入Halcon的头文件库文件,并提供了一个简单的代码示例。最后,作者分享了测试阶段的经验,强调了确保系统在各种情况下都能正常工作的必要性。通过这次实践,证明了两者结合可以带来更高效、更稳定的视觉处理解决方案。 适合人群:具有一定编程经验的技术人员,尤其是对计算机视觉图形界面开发感兴趣的开发者。 使用场景及目标:适用于希望深入了解Qt与Halcon集成应用的开发者,旨在帮助他们掌握从框架搭建到实际部署的全过程,从而提升自身技能水平。 阅读建议:读者可以在阅读过程中跟随作者的步伐逐步尝试相关操作,以便更好地理解吸收所介绍的知识点技术细节。
【CAD入门基础课程】1.4 AutoCAD2016 功能介绍.avi
最新发布
08-09
一、AutoCAD 2016的新增功能 版本演进: 从V1.0到2016版已更新数十次,具备绘图、编辑、图案填充、尺寸标注、三维造型等完整功能体系 界面优化: 新增暗黑色调界面:使界面协调深沉利于工作 底部状态栏整体优化:操作更实用便捷 硬件加速:效果显著提升运行效率 核心新增功能: 新标签页功能区库:改进工作空间管理 命令预览功能:增强操作可视化 地理位置实景计算:拓展设计应用场景 Exchange应用程序计划提要:提升协同效率 1. 几何中心捕捉功能 新增选项: 在对象捕捉模式组中新增"几何中心"选项 可捕捉任意多边形的几何中心点 启用方法: 通过草图设置对话框→对象捕捉选项卡 勾选"几何中心(G)"复选框(F3快捷键启用) 2. 标注功能增强 DIM命令改进: 智能标注创建:基于选择的对象类型自动适配标注方式 选项显示优化:同时在命令行快捷菜单中显示标注选项 应用场景: 支持直线、圆弧、圆等多种图形元素的智能标注 3. 打印输出改进 PDF输出增强: 新增专用PDF选项按钮 支持为位图对象添加超链接 可连接到外部网站本地文件 操作路径: 快速访问工具栏→打印按钮→PDF选项对话框 4. 其他重要更新 修订云线增强: 支持创建矩形多边形云线 新增虚拟线段编辑选项 系统变量: 新增多个控制新功能的系统变量
电力电子领域单相PWM整流模型的主电路与控制模块实现研究
08-09
内容概要:本文详细探讨了单相PWM整流模型的设计与实现,重点介绍了主电路控制模块的具体实现方法。主电路作为整流模型的核心部分,涉及功率因数、电流稳定性调节范围等因素,常采用全桥或多级整流等拓扑结构。控制模块则由PWM控制器、传感器执行器组成,负责调节交流电源的输入,实现所需电压电流波形。文中还强调了算法设计、硬件接口设计参数调整与优化的重要性,指出这些因素对于提高整流效果效率至关重要。 适合人群:从事电力电子领域的研究人员、工程师及相关专业的学生。 使用场景及目标:适用于希望深入了解单相PWM整流模型工作原理技术细节的人群,旨在帮助他们掌握主电路控制模块的设计要点,提升电力系统的稳定性效率。 其他说明:文中提到的相关技术可以通过进一步查阅专业文献技术资料获得更深入的理解。
jwtcookiesession
06-27
<think>我们正在处理一个前后端分离项目,前端使用Vue3(TypeScript)+Vite+VueRouter+Pinia+Axios,后端使用NestJS(Fastify)并连接MongoDB(mongoose)Redis(ioredis)。我们需要实现基于JWT、CookieSession的认证机制。以下将分步骤详细说明。###1.后端(NestJS)实现JWT认证与Session管理####1.1安装依赖```bashnpminstall@nestjs/jwt@nestjs/passportpassportpassport-jwtfastify-session@fastify/secure-session```####1.2JWT模块配置```typescript//auth/jwt.strategy.tsimport{Injectable}from&#39;@nestjs/common&#39;;import{PassportStrategy}from&#39;@nestjs/passport&#39;;import{ExtractJwt,Strategy}from&#39;passport-jwt&#39;;import{ConfigService}from&#39;@nestjs/config&#39;;@Injectable()exportclassJwtStrategyextendsPassportStrategy(Strategy){constructor(privateconfigService:ConfigService){super({jwtFromRequest:ExtractJwt.fromExtractors([(request:FastifyRequest)=>{returnrequest.cookies?.access_token;//从Cookie中提取}]),ignoreExpiration:false,secretOrKey:configService.get<string>(&#39;JWT_SECRET&#39;),});}asyncvalidate(payload:any){return{userId:payload.sub,username:payload.username};}}```####1.3登录接口生成JWT并设置Cookie```typescript//auth/auth.service.tsimport{Injectable}from&#39;@nestjs/common&#39;;import{JwtService}from&#39;@nestjs/jwt&#39;;import{FastifyReply}from&#39;fastify&#39;;@Injectable()exportclassAuthService{constructor(privatejwtService:JwtService){}asynclogin(user:any,reply:FastifyReply){constpayload={sub:user.id,username:user.username};constaccessToken=this.jwtService.sign(payload);//设置Cookiereply.setCookie(&#39;access_token&#39;,accessToken,{httpOnly:true,secure:process.env.NODE_ENV===&#39;production&#39;,path:&#39;/&#39;,maxAge:86400//1天});return{accessToken};}}```####1.4使用Redis存储Session(可选,用于扩展会话管理)```typescript//main.ts(NestJS入口)importfastifySessionfrom&#39;@fastify/secure-session&#39;;asyncfunctionbootstrap(){//...之前代码awaitapp.register(fastifySession,{secret:&#39;averylogphrasebiggerthanthirtytwochars&#39;,salt:&#39;mq9hDxBVDbspDR6n&#39;,cookie:{path:&#39;/&#39;,httpOnly:true,secure:false,//生产环境下应为truemaxAge:86400}});}```###2.前端(Vue3)处理认证流程####2.1Axios配置(携带Cookie)```typescript//src/utils/api.tsimportaxiosfrom&#39;axios&#39;;constapi=axios.create({baseURL:import.meta.env.VITE_API_BASE,timeout:10000,withCredentials:true//允许跨域携带Cookie});//请求拦截器:添加Token(可选,因为Cookie会自动发送)api.interceptors.request.use(config=>{//如果同时使用Authorization头,可以这样设置consttoken=localStorage.getItem(&#39;access_token&#39;);if(token){config.headers.Authorization=`Bearer${token}`;}returnconfig;});exportdefaultapi;```####2.2Pinia存储用户状态```typescript//src/stores/authStore.tsimport{defineStore}from&#39;pinia&#39;;importapifrom&#39;@/utils/api&#39;;interfaceUser{id:string;username:string;email:string;}exportconstuseAuthStore=defineStore(&#39;auth&#39;,{state:()=>({user:nullasUser|null,isAuthenticated:false}),actions:{asynclogin(credentials:{username:string;password:string}){try{constresponse=awaitapi.post(&#39;/auth/login&#39;,credentials);//如果需要,可以存储token到localStorage(但Cookie已由浏览器自动存储)//localStorage.setItem(&#39;access_token&#39;,response.data.accessToken);this.user=response.data.user;this.isAuthenticated=true;}catch(error){console.error(&#39;登录失败&#39;,error);throwerror;}},asynclogout(){awaitapi.post(&#39;/auth/logout&#39;);this.user=null;this.isAuthenticated=false;//清除本地存储的token(如果存储了)localStorage.removeItem(&#39;access_token&#39;);},asynccheckAuth(){try{const{data}=awaitapi.get(&#39;/auth/profile&#39;);this.user=data;this.isAuthenticated=true;}catch(error){this.isAuthenticated=false;}}}});```####2.3路由守卫(VueRouter)```typescript//src/router/index.tsimport{createRouter,createWebHistory}from&#39;vue-router&#39;;import{useAuthStore}from&#39;@/stores/authStore&#39;;constroutes=[{path:&#39;/&#39;,component:()=>import(&#39;@/views/Home.vue&#39;)},{path:&#39;/login&#39;,component:()=>import(&#39;@/views/Login.vue&#39;)},{path:&#39;/profile&#39;,component:()=>import(&#39;@/views/Profile.vue&#39;),meta:{requiresAuth:true}}];constrouter=createRouter({history:createWebHistory(),routes});router.beforeEach(async(to,from,next)=>{constauthStore=useAuthStore();//检查是否需要认证if(to.meta.requiresAuth){//如果尚未检查过认证状态,则检查if(!authStore.isAuthenticated){try{awaitauthStore.checkAuth();}catch(error){//忽略错误,会在下面处理}}if(authStore.isAuthenticated){next();}else{next(&#39;/login&#39;);}}else{next();}});exportdefaultrouter;```###3.前后端认证流程整合1.**登录流程**:-用户在前端提交登录表单(用户名/密码)-前端通过Axios发送POST请求到`/auth/login`-后端验证凭证,生成JWT并设置到Cookie(HttpOnly,Secure)-同时可以返回用户信息(避免敏感信息)2.**后续请求**:-浏览器自动在每次请求中携带Cookie-后端通过`JwtStrategy`验证Cookie中的JWT-验证通过后,请求处理继续3.**退出登录**:-前端调用`/auth/logout`接口-后端清除Session(如果使用)并清除Cookie-前端清除本地用户状态4.**认证检查**:-前端在路由守卫中调用`/auth/profile`(受保护端点)-后端验证JWT并返回当前用户信息-前端更新认证状态###4.安全增强措施-**HttpOnlyCookie**:防止XSS攻击获取Token-**SecureCookie**:生产环境中启用,仅通过HTTPS传输-**SameSite属性**:设置为`Lax`或`Strict`防止CSRF攻击-**JWT有效期**:设置较短的有效期(如15分钟)并配合刷新令牌机制-**CORS限制**:仅允许信任的源(如`http://localhost:5173`)###5.常见问题解决**问题:跨域请求中Cookie未携带**-确保后端CORS配置允许凭证(`credentials:true`)-前端Axios设置`withCredentials:true`-后端设置Cookie时指定`SameSite=None``Secure`(HTTPS环境下)**问题:刷新页面后Vuex/Pinia状态丢失**-使用`checkAuth`方法在应用初始化时重新获取用户状态-将必要信息存储在`localStorage`(非敏感信息)或Cookie中**问题:JWT过期处理**-实现刷新令牌机制:前端在收到401错误后,使用刷新令牌获取新访问令牌-刷新令牌应具有更长有效期,且存储更安全(HttpOnlyCookie)###总结通过以上步骤,我们实现了:1.后端生成JWT并设置HttpOnlyCookie2.前端自动携带Cookie进行API请求3.Pinia管理用户认证状态4.VueRouter路由守卫保护需要认证的页面5.安全措施保障认证过程的安全性这种模式结合了JWT的无状态特性Cookie的自动管理优势,同时通过HttpOnly标志增强了安全性。§§相关问题§§1.如何在NestJS中实现JWT刷新令牌机制?2.Vue3中如何安全地存储刷新JWT令牌?3.如何在前端实现无感刷新令牌?4.在NestJS中如何同时支持CookieAuthorization头两种认证方式?5.如何测试Vue组件中依赖于认证状态的逻辑?6.在Fastify中如何配置安全的Cookie参数?</think>### Vue3 + NestJS(Fastify) JWT认证集成指南 我将详细说明如何在Vue3NestJS(Fastify)项目中实现JWT、CookieSession认证机制,以下是完整的实现方案: --- ### 一、后端(NestJS)实现 #### 1. JWT认证模块 ```typescript // src/auth/auth.module.ts import { Module } from &#39;@nestjs/common&#39;; import { JwtModule } from &#39;@nestjs/jwt&#39;; import { AuthService } from &#39;./auth.service&#39;; import { AuthController } from &#39;./auth.controller&#39;; import { JwtStrategy } from &#39;./jwt.strategy&#39;; @Module({ imports: [ JwtModule.register({ secret: process.env.JWT_SECRET, signOptions: { expiresIn: &#39;1h&#39; } }) ], providers: [AuthService, JwtStrategy], controllers: [AuthController] }) export class AuthModule {} ``` #### 2. JWT策略与守卫 ```typescript // src/auth/jwt.strategy.ts import { Injectable } from &#39;@nestjs/common&#39;; import { PassportStrategy } from &#39;@nestjs/passport&#39;; import { ExtractJwt, Strategy } from &#39;passport-jwt&#39;; import { FastifyRequest } from &#39;fastify&#39;; @Injectable() export class JwtStrategy extends PassportStrategy(Strategy) { constructor() { super({ jwtFromRequest: ExtractJwt.fromExtractors([ (request: FastifyRequest) => { return request.cookies?.access_token; // 从Cookie获取JWT } ]), ignoreExpiration: false, secretOrKey: process.env.JWT_SECRET }); } async validate(payload: any) { return { userId: payload.sub, username: payload.username }; } } ``` #### 3. 登录接口实现 ```typescript // src/auth/auth.service.ts import { Injectable } from &#39;@nestjs/common&#39;; import { JwtService } from &#39;@nestjs/jwt&#39;; import { FastifyReply } from &#39;fastify&#39;; @Injectable() export class AuthService { constructor(private jwtService: JwtService) {} async login(user: any, reply: FastifyReply) { const payload = { sub: user.id, username: user.username }; const accessToken = this.jwtService.sign(payload); // 设置HttpOnly Cookie reply.setCookie(&#39;access_token&#39;, accessToken, { httpOnly: true, secure: process.env.NODE_ENV === &#39;production&#39;, path: &#39;/&#39;, maxAge: 3600 // 1小时 }); // Redis存储会话信息 await redis.set(`session:${user.id}`, JSON.stringify(user), &#39;EX&#39;, 3600); return { accessToken }; } } ``` #### 4. 会话保护路由 ```typescript // src/users/users.controller.ts import { Controller, Get, UseGuards } from &#39;@nestjs/common&#39;; import { JwtAuthGuard } from &#39;../auth/jwt-auth.guard&#39;; @Controller(&#39;users&#39;) export class UsersController { @UseGuards(JwtAuthGuard) @Get(&#39;profile&#39;) getProfile(@Req() req) { // 从Redis获取完整会话数据 return redis.get(`session:${req.user.userId}`); } } ``` --- ### 二、前端(Vue3)实现 #### 1. Axios配置(处理Cookie) ```typescript // src/utils/api.ts import axios from &#39;axios&#39;; const api = axios.create({ baseURL: import.meta.env.VITE_API_BASE, timeout: 10000, withCredentials: true // 关键:允许跨域发送Cookie }); // 请求拦截器 api.interceptors.request.use(config => { // 从Pinia获取token(备用方案) const authStore = useAuthStore(); if (authStore.accessToken) { config.headers.Authorization = `Bearer ${authStore.accessToken}`; } return config; }); // 响应拦截器(处理401错误) api.interceptors.response.use( response => response, error => { if (error.response?.status === 401) { const authStore = useAuthStore(); authStore.logout(); router.push(&#39;/login&#39;); } return Promise.reject(error); } ); export default api; ``` #### 2. Pinia认证存储 ```typescript // src/stores/authStore.ts import { defineStore } from &#39;pinia&#39;; import api from &#39;@/utils/api&#39;; export const useAuthStore = defineStore(&#39;auth&#39;, { state: () => ({ user: null as any, accessToken: &#39;&#39;, isAuthenticated: false }), actions: { async login(credentials: { username: string; password: string }) { try { const response = await api.post(&#39;/auth/login&#39;, credentials); this.isAuthenticated = true; this.user = response.data.user; // 注意:JWT通过Cookie存储,此处仅存储用户数据 } catch (error) { throw new Error(&#39;登录失败&#39;); } }, async checkAuth() { try { const { data } = await api.get(&#39;/users/profile&#39;); this.user = data; this.isAuthenticated = true; return true; } catch { this.logout(); return false; } }, logout() { api.post(&#39;/auth/logout&#39;); this.user = null; this.isAuthenticated = false; router.push(&#39;/login&#39;); } } }); ``` #### 3. 路由守卫实现 ```typescript // src/router/index.ts import { createRouter, createWebHistory } from &#39;vue-router&#39;; import { useAuthStore } from &#39;@/stores/authStore&#39;; const router = createRouter({ history: createWebHistory(), routes: [ { path: &#39;/login&#39;, component: () => import(&#39;@/views/Login.vue&#39;) }, { path: &#39;/profile&#39;, component: () => import(&#39;@/views/Profile.vue&#39;), meta: { requiresAuth: true } } ] }); router.beforeEach(async (to) => { const authStore = useAuthStore(); if (to.meta.requiresAuth && !authStore.isAuthenticated) { // 先尝试静默认证 const isAuthenticated = await authStore.checkAuth(); if (!isAuthenticated) return &#39;/login&#39;; } }); export default router; ``` #### 4. 登录组件示例 ```vue <!-- src/views/Login.vue --> <script setup lang="ts"> import { ref } from &#39;vue&#39;; import { useAuthStore } from &#39;@/stores/authStore&#39;; const authStore = useAuthStore(); const username = ref(&#39;&#39;); const password = ref(&#39;&#39;); const error = ref(&#39;&#39;); const handleLogin = async () => { try { await authStore.login({ username: username.value, password: password.value }); router.push(&#39;/profile&#39;); } catch (err) { error.value = &#39;用户名或密码错误&#39;; } }; </script> <template> <form @submit.prevent="handleLogin"> <input v-model="username" placeholder="用户名"> <input v-model="password" type="password" placeholder="密码"> <button type="submit">登录</button> <p v-if="error" class="error">{{ error }}</p> </form> </template> ``` --- ### 三、安全增强措施 1. **Cookie安全配置**: ```typescript // NestJS Cookie设置 reply.setCookie(&#39;access_token&#39;, token, { httpOnly: true, // 防止XSS攻击 secure: true, // 仅HTTPS传输 sameSite: &#39;strict&#39;,// 防止CSRF攻击 path: &#39;/&#39;, maxAge: 3600 }); ``` 2. **Redis会话管理**: ```typescript // 存储会话 await redis.setex(`session:${userId}`, 3600, JSON.stringify(userData)); // 验证会话 async validateSession(userId: string) { const session = await redis.get(`session:${userId}`); return session ? JSON.parse(session) : null; } ``` 3. **JWT刷新机制**: ```typescript // 前端静默刷新 api.interceptors.response.use(null, async (error) => { if (error.response.status === 401 && !error.config._retry) { error.config._retry = true; await authStore.refreshToken(); return api(error.config); } return Promise.reject(error); }); ``` --- ### 四、工作流程说明 1. **登录流程**: - 用户提交登录表单 - Vue发送POST `/auth/login` - NestJS验证凭证,生成JWT - 设置HttpOnly Cookie并存储Redis会话 - 返回用户数据(不含敏感信息) 2. **认证流程**: - 前端发起请求自动携带Cookie - NestJS从Cookie提取JWT验证 - 验证成功后从Redis获取完整会话数据 - 返回请求的资源 3. **登出流程**: - 调用`/auth/logout`清除服务端会话 - 清除客户端Pinia状态 - 服务端清除Redis会话 --- ### 五、最佳实践建议 1. **Cookie vs LocalStorage**: - 使用HttpOnly Cookie存储JWT更安全 - 避免XSS攻击窃取令牌 - 配合SameSiteSecure属性 2. **会话过期处理**: ```typescript // 前端定期检查会话 setInterval(() => { if (authStore.isAuthenticated) { authStore.checkAuth(); } }, 300000); // 每5分钟 ``` 3. **敏感操作保护**: ```typescript // 关键操作需要二次验证 @Post(&#39;change-password&#39;) @UseGuards(JwtAuthGuard, TwoFactorGuard) async changePassword() { // ... } ``` 4. **监控与日志**: - 记录所有认证相关操作 - 监控异常登录尝试 - 实现会话设备管理 此方案结合了JWT的无状态特性Redis会话管理的灵活性,通过HttpOnly Cookie实现安全认证,适合生产环境部署[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值