初识token

最新推荐文章于 2023-10-18 18:11:30 发布
最新推荐文章于 2023-10-18 18:11:30 发布
阅读量221 收藏
点赞数
分类专栏: node js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/James_xyf/article/details/119522732
版权
node 同时被 2 个专栏收录
6 篇文章 1 订阅
订阅专栏
js
5 篇文章 0 订阅
订阅专栏

每天对自己多问几个为什么,总是有着想象不到的收获。 一个菜鸟小白的成长之路(copyer)


什么是token

token是服务端生成的一个字符串,用作客户端进行请求的一个令牌。在首次登陆的时候,服务端生成一个token,然后传递给客户端,在客户端进行保存。然后在每次请求的时候,只需要带上token,就可以代替用户名和密码了。


token的身份验证的基本流程

  1. 客户端使用用户名和密码请求登陆

  2. 服务端接收请求,验证用户名个密码是否正确

  3. 验证成功之后,服务端生成一个token,然后返回给客户端

  4. 客户端接收到token,就保存在cookie中或者本地储存(localStorage)中

    +++++++++++++++分割线+++++++++++++++

  5. 客户端以后每次向服务端发送请求,就把token发送给服务端

  6. 服务端收到请求后,就去验证token,验证成功之后,返回给客户端资源


什么是JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

认识session认证和token认证


session认证:

当客户端请求登陆之后,服务端通过session把用户信息保存在内存中,返回给客户端一个session标识符,保存在cookie中,当客户端下次请求的时候,带上cookie,服务端从cookie中拿取session标识符,在内存中查找,查看用户是否登陆,这就是所谓的session认证。

缺点就是:

​ 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。


token认证

基于token的鉴权机制类似于http协议也是无状态的,但是它不需要服务端去保存用户的认证信息或则会话信息。这就意味着基于token认证就不需要去关注用户在哪一台服务器上登陆,为引用扩展提供了便利。


JWT的三部分

token的主要形式如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

主要分为了三部分,以 .进行分割。

画图解释:

在这里插入图片描述

第一部分: header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256
{
    'typ': 'JWT',
    'alg': 'HS256'
}

通过base64转化形成的字符串:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

第二部分:payload

{
    name: 'james',
    phone: '123'
}

通过base64转化形成的字符串

dhakfhsja....dhhsjkDFASF     //随便输入的

第三部分: Signature

const str = base64(header) + '.' + base64(payload)
const signature = HS256(str, 'secret')     //sercrt: 盐

JWT就是由这三部分组成的。

注意:

盐: secret 是放在服务端, 所以生成 JWT 也是在服务端生成的,secret 就是用来进行JWT的签发和JWT的解析

这个不能被暴露出去。(不然客户端就能进行伪造)


服务端进行 token 验证:

base64( header) + base64(payload) + 盐 与 第三部分 签名signature 进行对比

如果相等: 说明token有效

如果不相等: 说明token无效

造假:

这里主要盐是未知的,只有服务端才知道, 如果盐被暴露出去,就可以强行修改第二部分的payload,和 第三部分的签名,让服务端验证token是有效的,拿到有用的资源。

所以: 是千万不能被暴露的


代码实现:

安装:

npm install jsonwebtoken

生成token
//导入包
const jwt = require('jsonwebtoken')

//服务端的盐
const jwt_salt = 'copyer'

//登陆接口
router.post('/login', (req, res) => {
    const { name, password } = req.body    //这里的name: james
    //进行一些列的验证操作
    //验证成功之后,返回前端数据
    
    const token = jwt.sign({name: name}, jwt_salt, { expiresIn: 60 * 60 * 2})
    
    console.log(token)
  //eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiamFtZXMiLCJpYXQiOjE2Mjg0MzMxMjYsImV4cCI6MTYyODQ0MDMyNn0.2cgSkXCBgiKImhr0VSfBAqszClZRPrndcntQTKpwZT0
    
    
    //返回前端信息,包含token
    
})

上面代码中: 生成JWT token使用 sign 这个方法,接收三个参数

  • 第一个参数: 用户信息
  • 第二个参数: 服务端的
  • 第三个参数:过期时间(一般是两个小时)

验证token

使用jwt中提供的verify这个方法,接收两个参数

  • 第一个参数: token
  • 第二个参数: 盐
const token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiamFtZXMiLCJpYXQiOjE2Mjg0MzMxMjYsImV4cCI6MTYyODQ0MDMyNn0.2cgSkXCBgiKImhr0VSfBAqszClZRPrndcntQTKpwZT0"

try {
    const userInfo = jwt.verify(token, jwt_salt)
} catch(e) {
    console.log("token已经过期")
}

console.log(userInfo)   //{"name":"james","iat":1628433747,"exp":1628440947}
copyer_xyf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务鉴权代码实现和网关过滤器验证token
weixin_60668060的博客
11-24 1683
1 思路分析 1.用户进入网关到网关过滤器 判断是否是登录 如果是登录就进入路由 2.登录成功,后台管理微服务签发JWT token信息返回给用户 3.用户再次进入网关开始访问,网关过滤器接受用户携带的token 4.网关过滤解析token,判断是否有权限,有则放行,如果没有返回未认证错误 2 系统微服务签发token 2.1 导入依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <a
Java实现Token的生成与验证
qq_38410963的博客
02-15 6452
二、基于JWT的token认证实现 JWT:JSON Web Token,其实token就是一段字符串,由三部分组成:Header,Payload,Signature 1、引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.2</version> <
Jwt选型和实现
qq_45317823的博客
02-19 496
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
token令牌常用的四种加密方式
热门推荐
**kwargs的博客
02-10 1万+
1,base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3V...
Token实现登录、token过期解决以及数据解析
qq_38935605的博客
10-21 7680
token我们可以理解为一个令牌,主要的作用是守护我们系统的安全,像我们登录这些都是可以使用token进行用户数据校验的,那么为什么不用传统的session呢?可能很多人直接使用上面的代码进行登录接口实现了,那么同志们有想过一个问题吗?上面设置了token的过期时间的,当用户正在使用我们软件的时候,突然token过期了直接报了个401,这个时候用户肯定是一脸懵逼了,有很多软件都会出现这个问题,就是因为偷懒了,我们不经常发现是因为他们的token设置的过期时间较长而已。--导入下面依赖吧-->
获取钉钉机器人的tokensecret
最新发布
supersolon的专栏
10-18 3544
提示添加成功。
初识KatalonStudio自动化测试工具
01-27
初识KatalonStudio自动化测试工具】 在自动化测试领域,选择合适的工具至关重要。Selenium和Appium是两款被广泛使用的自动化测试工具。Selenium专用于Web自动化测试,以其开源、免费、多语言支持和录制功能而受到...
PHP JWT初识及其简单示例
01-20
JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。 由于现在很...
初识预训练模型:elmo1
08-03
初识预训练模型:elmo1】 在自然语言处理(NLP)领域,预训练模型已经成为提升模型性能的关键技术。ELMO(Embeddings from Language Models)是其中一种重要的语义表示模型,它以长短期记忆网络(LSTM)为基础,...
221204-10IdentityServer4(初识IdentityServer4)
12-04
1 启动把所有项目的启动方式修改为:“IIS Express”4.2 设定“JwtBearer”令牌(Token)缓冲过期时间为:04.2.1 通过“IdentityServer4.AccessTokenValidation”中间件设定//通过“IdentityServer4....
22-10-11-07_SqlSugarAcquaintance(初识SqlSugarCore之Jwt认证中间件)
10-11
通过的Jwt认证中间件生成令牌(Token)的操作有两大部部分组成: 1、 定义在Program.cs中的依赖注入配置。 2、 用于令牌(Token)生成的自定义方法。 Jwt认证中间件通过3个参数成员或属性成员及其相对应的值来保证依赖...
Token生成方式——JWT使用指南
u010803453的博客
11-02 2106
Token生成方式——JWT使用指南JWT是什么JWT的构成Java代码展示这种Token方式的好处以及缺点 JWT是什么 JWT是一种Token生成工具,能够将若干信息封装到Token当中,从而可以替代传统的Session以及Cookie的检验用户方式。 同时JWT可以设置是token的过期时间,并且可以采取相关秘钥加密内容,从而保证内容不会被篡改:秘钥存储在服务器端,发放以及校验token的时...
基于 Token 的身份验证问题
White_BaiSmall的博客
09-25 352
基于 Token 的身份验证问题 首先声明,此文章并非原创,只是在学习的过程中做一个记录,下次需要的时候方便寻找查阅。直接转载肯定没有看的非常仔细透彻,所以便手动写一遍。原文地址: https://blog.csdn.net/z69183787/article/details/79160368 传统身份的验证方法 HTTP是一种无状态的协议,也就是说它不知道是谁在访问应用。这里我么把应用看作是客户...
OAuth学习
WNYFK的专栏
05-10 560
一、OAUTH相关的三个URL:   Request Token URL: 获取未授权的Request Token服务地址;   User Authorization URL: 获取用户授权的Request Token服务地址;   Access Token URL: 用授权的Request Token换取Access Token的服务地址; 二、获取未授权的req
token生成 与加密
易之晓的博客
03-13 2860
const jwt = require('jsonwebtoken') // Token 数据 const payload = { name: 'xcq', admin: true } // 密钥 const secret = 'ILOVENINGHAO' // 签发 Token const token = jwt.sign(payload, secret, {...
Token生成和使用
qq_35334804的博客
07-02 8176
Token的组成header.poyload.sign header:头部,包括参数类型(JWT),签名算法(HS256); poyload:负荷,存放信息(信息容易暴漏,不应该在载荷里面加敏感数据); sign:签名,Hs256(header(base64)+poyload(base64))加密; token生成方式两种  *不借助第三方jar,自己生成token;          ...
如何实现 token 加密
weixin_30707875的博客
07-27 1891
jwt举例 需要一个secret(随机数) 后端利用secret和加密算法(如:HMAC-SHA256)对payload(如账号密码)生成一个字符串(token),返回前端 前端每次request在header中带上token 后端用同样的算法解密 资料:认识JWT 转载于:https://www.cnblogs.com/wangxi01/p/11253847.htm...
Token详解
Shuo
09-22 1万+
描述了token和jwt,以及jwt的使用。
Token 常用的加解密算法
IT徐师兄
05-19 4721
常用的 Token 加密算法包括对称加密算法和非对称加密算法。对称加密算法使用相同的密钥来进行加密和解密,加密速度快,但是密钥传输和管理较为复杂。非对称加密算法使用一对公钥和私钥来进行加密和解密,加密速度慢,但是密钥传输和管理较为简单,且具有更好的安全性。下面分别介绍常用的对称加密算法和非对称加密算法,并提供相应的 Java 代码示例。
OpenStack Horizon Token 生成代码深度解析
"openstack生成token的代码解析" OpenStack是一个开源的云计算平台,它提供了多种服务,如计算、存储和网络资源的管理。在OpenStack中,Token是一种身份验证机制,用于验证用户或服务的身份,并授权其访问OpenStack...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值