2024年鸿蒙最新nodejs使用JWT(全)_nodejs jwt(1),阿里五次面试

最新推荐文章于 2024-06-21 16:23:23 发布
最新推荐文章于 2024-06-21 16:23:23 发布
阅读量376 收藏 9
点赞数 3
分类专栏: 程序员 文章标签: 鸿蒙 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84862416/article/details/138900842
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!


同样进行Base64编码后,字符串如下:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ



> 
> 请注意,**默认情况下JWT是未加密的,因为只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中**,以防止信息泄露。**JWT只是适合在网络中传输一些非敏感的信息**
> 
> 
> 


### Signature


签名哈希部分是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名

Signature = HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey)


一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致


在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用`.`分隔,就构成整个JWT对象  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/2831644abac59cffc5d203f6fb0636d1.png#pic_center)


注意JWT每部分的作用,在服务端接收到客户端发送过来的JWT token之后:


* header和payload可以直接利用base64解码出原文,从header中获取哈希签名的算法,从payload中获取有效数据
* signature由于使用了不可逆的加密算法,无法解码出原文,它的作用是校验token有没有被篡改。服务端获取header中的加密算法之后,利用该算法加上secretKey对header、payload进行加密,比对加密后的数据和客户端发送过来的是否一致。注意secretKey只能保存在服务端,而且对于不同的加密算法其含义有所不同,一般对于MD5类型的摘要加密算法,secretKey实际上代表的是盐值


## 如何实现


`Token`的使用分成了两部分:


* 生成token:登录成功的时候,颁发token
* 验证token:访问某些资源或者接口时,验证token


### 生成 token


借助第三方库`jsonwebtoken`,通过`jsonwebtoken` 的 `sign` 方法生成一个 `token`:

const jwt = require(‘jsonwebtoken’);

jwt.sign(Payload, secretkey, option)


* 第一个参数指的是 Payload
* 第二个是秘钥,服务端特有
* 第三个参数是 option,可以定义 token 过期时间,单位是秒


### 校验token


使用 `jwt.verify(token, secretkey, (error, data)=>{})` 进行验证


* secret 必须和 sign 时候保持一致


### 登录注册实例


#### 服务端


##### 定义生成token和校验token的函数


创建jwt.js模块,定义生成token和校验token的函数

const jwt = require(‘jsonwebtoken’);
const secretkey = ‘howdoyoudo’; //密钥

// 生成token
const sign = (data={}) => {
return jwt.sign(data, secretkey, {
expiresIn: 60*60,
});
};

// 验证token
const verify = (req, res, next) => {
let authorization = req.headers.authorization || req.body.token || req.query.token || ‘’;
let token = ‘’;
if (authorization.includes(‘Bearer’)) {
token = authorization.replace('Bearer ', ‘’);
} else {
token = authorization;
}

jwt.verify(token, secretkey, (error, data) => {
if (error) {
res.json({ error: 1, data: ‘token验证失败’ });
} else {
req._id = data._id;
next();
}
});
};

module.exports = {
sign,
verify,
};


##### 登录成功生成token

const router = require(‘express’).Router();
const md5 = require(‘md5’);

const User = require(‘…/modules/user’);
const jwt = require(‘…/modules/jwt’);

// 登录成功生成token
router.post(‘/login’, (req, res)=>{
User
.findOne({username:req.body.username})
.exec()
.then(data=>{
if (data) {
if (data.password == md5(req.body.password)) {
res.json({
error:0,
data: ‘登录成功’,
token: jwt.sign({ _id: data._id }),// 生成token,并传入用户_id
});
}else{
res.json({error:1, data: ‘密码错误’});
}
} else {
res.json({error:1, data: ‘用户名不存在,请先注册’});
}
});
});


##### 在需要登录验证的方法中挂载验证函数

router.get(‘/user’, jwt.verify, (req, res)=>{
User.findOne({_id: req._id}).exec().then(data=>{
res.json({
error: 0,
data: JSON.parse(JSON.stringify(data))
});
});
});


#### 客户端


##### 登录成功保存token


在客户端接收到`token`后,一般情况会通过`localStorage`进行缓存

localStorage.setItem(‘token’, data.token);


##### 请求的过程中携带token


然后将`token`放到`HTTP`请求头`Authorization` 中,关于`Authorization` 的设置,前面要加上 [Bearer](https://bbs.csdn.net/topics/618636735) ,注意后面带有空格:


[JWT规范](https://bbs.csdn.net/topics/618636735)

axios({
method: ‘GET’,
url: ‘/user’,
headers: {
Authorization: localStorage.getItem(‘token’) ? ‘Bearer ’ + localStorage.getItem(‘token’) : ‘’,
}
}).then(res => {
$(’#login-box’).html(template(‘login-template’, res.data))
});


## session 和 jwt 对比


基于 session 都是需要服务端存储的,而 JWT 是不需要服务端来存储的,总结如下:


**1、基于 session 和 cookie 的认证和鉴权模式有什么好与不好的地方呢?**


缺点 :


1. 容易遇到跨域问题。不同域名下是无法通过 session 直接来做到认证和鉴权的。
2. 分布式部署的系统,需要使用共享 session 机制
3. 容易出现 [CSRF](https://bbs.csdn.net/topics/618636735) 问题。


优点:


1. 方便灵活,服务器端直接创建一个 sessionid,下发给客户端,客户端请求携带 sessionid 即可。
2. session 存储在服务端,更加安全。
3. 便于服务端清除 session,让用户重新授权一次。


**2、JWT 与 session 有什么区别呢?**


JWT 是基于客户端存储的一种认证方式,然而 session 是基于服务端存储的一种认证方式


优点:


* JWT具有通用性,所以可以跨域
* 组成简单,字节占用小,便于传输
* 服务端无需保存会话信息,很容易进行水平扩展
* 一处生成,多处使用,可以在分布式系统中,解决单点登录问题
* 可防护[CSRF](https://bbs.csdn.net/topics/618636735)攻击


缺点:


* 无法清除认证 token。由于 JWT 生成的 token 都是存储在客户端的,不能有服务端去主动清除,只有直到失效时间到了才能清除。除非服务端的逻辑做了改变。
* 存储在客户端,相对服务端,安全性更低一些。当 JWT 生成的 token 被破解,我们不便于清除该 token。
* payload部分仅仅是进行简单编码,所以只能用于存储逻辑必需的非敏感信息
* 需要保护好加密密钥,一旦泄露后果不堪设想
* 为避免token被劫持,最好使用https协议


**html用户界面代码:**
2401_84862416
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nodejs使用JWT进行鉴权
AC_greener的博客
08-30 686
JSON Web Token(JWT)是一种用于在web上传递信息的标准,它以JSON格式表示信息,通常用于身份验证和授权。JWT由三个部分组成:Header(头部)、Payload(负载)和Signature(签名)。它们用点号分隔开,形成了一个JWT令牌JWT 的基本结构HeaderHeader(头部)是JWT结构的第一部分,它是一个包含关于令牌的元数据的JSON对象。Header通常包含两个主要字段:alg和 typ。alg(Algorithm)字段:这个字段指定了用于签名JWT的加密算法。
Nodejs-JWT-Api-Authentication:使用nodejsjwt对api进行身份验证
05-25
本文将深入探讨如何使用Node.js和JSON Web Tokens(JWT)来实现API的身份验证。 首先,Node.js是一种基于Chrome V8引擎的JavaScript运行环境,允许我们在服务器端执行JavaScript代码。它提供了一个轻量级、高效的...
Node.js 使用JWT进行用户认证
weixin_34096182的博客
09-04 358
代码地址如下:http://www.demodashi.com/demo/13847.html 运行环境 该项目基于 node(v7.8.0版本以上) 和 mongodb 数据库,因此电脑上需要安装这两个软件,安装教程自行百度。mongodb教程。如果实在不懂安装,请勿下载代码。 运行项目 此处已代表已经安装完成了node和mongodb,下载代码之后,目录结构是这样子的: 接下来需要安装依...
node.js 学习四——前后端身份认证
最新发布
weixin_45691995的博客
06-21 904
因此不建议服务器将重要的隐私数据,通过 Cookie 的形式发送给浏览器。HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的 Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将 Cookie 保存在浏览器中。
NodeJS使用JWT
没有途径,只有努力
08-08 1906
# JWT(jsonwebtoken) > 目前最流行的跨域身份验证解决方案 ## 在nodejs使用 ### 安装 ` npm install jsonwebtoken --save` ### 使用 - 1.在路由中引入 ```cpp var jwt = require('jsonwebtoken'); ``` - 2.定义一个密钥 ```cpp const secret = 'nidemiyao'//用于加密 ``` - 3.定义生成token的函数 ```cpp //生成token
nodejs实现JWT
weixin_42929948的博客
05-28 497
1.生成token a.安装jsonwebtoken cnpm install jsonwebtoken --save b.生成token var jwt=require('jsonwebtoken'); router.get('/',async (req,res,next)=>{ var token=jwt.sign({name:'张三'},'this is sign',{ expiresIn:60 }); res.send(token); });
nodejs使用jwt
hanq2016的博客
08-11 683
nodejs使用jwt
API_Secure:Web服务-nodeJS-JWT-Redis
05-12
配置文件:./env npm install npm start 本地主机:8080 / signup curl --location --request POST ' localhost:8080/signup ' \ --header ' Content-Type: application/json ' \ --data-raw ' { ...
JWT_authentication_API_bolilerplate:具有JTW认证的NodeJS样板
05-24
我们建议您使用Node.js的最新"Active LTS"版本。 确保已安装npm (注意: npm与Node.js一起分发,这意味着当您下载Node.js时,会自动在计算机上安装npm)。检查您是否已安装节点和npm 要检查是否已安装Node.js,请...
NodeJs_Auth:使用 jwt 和 mongodb 作为数据库的用户身份验证
05-29
在本文中,我们将深入探讨如何使用Node.js、Express.js、MongoDB以及JSON Web Tokens(JWT)来构建一个用户身份验证系统。这个系统的核心是通过JWT实现无状态的身份验证,同时利用MongoDB作为持久化存储来管理用户...
Jwt-Authentication-Nodejs-:使用nodejs生成jwtToken进行React和vuejs和角度
02-03
#Authentication适用于使用Node.js的单页应用程序节点js和mongodb(tokenbasedauth)安装依赖npm安装config在mlabs中创建mongo uri,将其添加到app.js并在数据库config目录中添加密码和用户名。 注册端点\ signup ...
nodejs-jwt-authentication-sample:一个支持通过JWT进行用户名和密码身份验证的NodeJS API
04-13
NodeJS JWT身份验证样本 这是一个NodeJS API,它支持通过JWT进行用户名和密码身份验证,并具有返回Chuck Norris短语的API。 那有多棒? 可用的API 用户API POST /users 您可以对/users进行POST以创建新用户。 身体必须具有: username :用户名 password :密码 extra :您要从用户保存的一些额外信息(这是一个字符串)。 这可以是颜色,也可以是任何颜色。 它返回以下内容: { " id_token " : { jwt }, " access_token " : { jwt } } 使用位于config.json文件中的密钥对id_token和access_token进行签名。 id_token将包含username和发送的extra信息,而access_token将包含audience , jt
node-jwt:使用jsonwebtoken和node js的JWT实现
05-16
节点-jwt 使用Node js的JWT实现
nodejs使用JWT
黎小小的博客
03-10 537
【代码】nodejs使用JWT
【Node.js】jwt (jsonwebtoken)
小秀的博客
10-16 782
JWT(JSON Web Token)是一种用于实现身份验证和授权的开放标准。它是一种基于JSON的安传输数据的方式,由三部分组成:头部、载荷和签名。
nodejs使用JWT()
weixin_68658847的博客
01-12 5158
nodejs使JWT()
NodeJS实现JWT原理
qq_41179562的博客
11-02 2549
这里写目录标题1.会话管理2.session和cookies3.JWT定义4.JWT原理5.JWT认证流程6.代码实现(Vue+NodeJS+MySql) 1.会话管理 我们用nodejs为前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下文获取具体的用户是否有权限,针对用户的上下文进行操作。所以出现了cookies session还有jwt这几种技术的出现, 都是对HTTP协议的一个补充。使得我们可以用HTTP协议+状态管理构建一个的面向用户的WEB
通过NodeJS生成JWT(保姆级教程,原理分析)
赵忠洋的博客
05-25 1142
前言 JWT(称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安地传输信息。该信息可以被验证和信任,因为它是数字签名的。 简单业务流程 JWT组成 Jwt由 Header.Payload.Signature 三部分数据拼接组成 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL3d3dy5leGFtcGxlcy5jb20iLCJpYXQiOjE2
nodeJs-身份认证(JWT)
软工二班秦同学的博客
04-01 528
2、权限操作:在登录成功的前体下,不同的角色有不同的权限身份认证实现的方式:1、后端采用session 前端采用cookie2、后端采用jwt 前端采用本地存储token:临时身份认证令牌 登录成功后,后端或返回一个字符串给前端【这个字符串就称为token】,以后每次前端访问后端资源的时候就将这个令牌带着,后端就根据是否有这个令牌来判断是否进行了登录操作。
nodejs 实现 jwt验证
06-08
在这个例子中,我们定义了一个密钥`secret`,然后使用`jwt.sign`方法创建了一个JWT,并设置了过期时间为1小时。接着,我们使用`jwt.verify`方法对JWT进行验证,如果验证成功,就可以获得JWT的解密信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值