JWT的token登录详解及项目实操流程

最新推荐文章于 2024-02-20 01:41:07 发布
最新推荐文章于 2024-02-20 01:41:07 发布
阅读量2.3k 收藏 10
点赞数 1
分类专栏: 前后端分离开发 文章标签: 前端 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shaw_Jie/article/details/127746361
版权

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

总结:JWT就是token,它是生成token,校验token的一种工具。常用于分布式站点的单点登录

首先了解一下,基于token的登录流程

1. 客户端使用用户名跟密码请求登录
2. 服务端收到请求,去验证用户名与密码
3. 验证成功后,服务端会签发一个Token,再把这个 Token 发送给客户端
4. 客户端收到Token 以后可以把它存储起来,比如放在 Cookie 里或者 localStorage 里
5. 客户端每次向服务端请求资源的时候需要带着服务端签发的Token
6. 服务端收到请求,然后去验证客户端请求里面带着的Token,如果验证成功,就向客户端返回请求的数据,另外服务端要支持CORS(跨来资源共享)的策略

接下来进入正题------------------------------------------------------------------------------------------------------↓

项目的实操流程

1.初始化一个项目

npm init -y //生成package.json文件

2.下载所需依赖,生成node_modules文件和package-lock.json

 npm i express cors jsonwebtoken -S //保存到当前项目中

3.新建一个uitls文件夹,存放工具函数,在里面新建一个tokenUitls.js用来封装生成token和验证token的函数,在里面先引入JWT,然后再封装函数,并暴露出去

// 第一步:引入jwt
let jwt = require("jsonwebtoken");

// JWT的组成部分

// 1.Header(头)  作用:记录令牌类型、签名算法等 例如:{"alg":"HS256","type":"JWT"}

// 2.Payload(有效载荷) 作用:携带一些用户信息 例如{"userId":"1","username":"mingzi"}

// 3.Signature(签名) 作用:是对前两部分的签名,防止Token被篡改、确保安全性 例如 计算出来的签名,一个字符串

// 密钥---字符串
let privatekey = 'testjwt'; //自定义密钥
// 过期时间单位 s
// let time = 60*60;

// 第二步:封装生成token的函数 
function createToken(obj,exTime){
                        // obj代表有效载荷  privatekey代表密钥  expires过期时间 s
    let tempToken = jwt.sign(obj,privatekey,{expiresIn:exTime})
    // 把生成的token  return出去
    return tempToken
}

// 校验token的方法
function verifyToken(token){
    return new Promise((resolve,reject)=>{
        jwt.verify(token,privatekey,(err,data)=>{
            if(err){
                reject(err)
            }else{
                resolve(data)
            }
        })
    })
}

// 第三步:暴露出去
module.exports = {
    createToken,
    verifyToken
}

4.新建app.js搭建服务器

先写一个登录接口,如果验证用户名和密码没问题,就调用生成token的函数,发送给前台res.send({ massage:"登录成功",token})

let express = require("express");
let app = express();
// 第四步:引入封装的生成token的方法
let { createToken,verifyToken } = require("./utils/tokenUtils")
// 解决跨域
let cors = require("cors");
app.use(cors());
// 解析post请求
app.use(express.urlencoded({extended:false}))
app.use(express.json())

// 登录接口
app.post("/login",(req,res)=>{
    if(req.body.username!='xiaohao' || req.body.password!='123456'){
        res.send("用户名不匹配")
    }else{
        let token = createToken({username:req.body.username},1800)
        console.log('token',token);
        res.send({
            message:"登录成功",
            token
        })
    }
})

// 用中间件拦截请求
app.use((req,res,next)=>{
    // 获取前端传递过来的token
    // console.log(req.headers);
    let token = req.headers["authorization"];

    // 如果有token执行校验token操作
    if(token){
        verifyToken(token).then((rel => {
            // console.log(rel); //{ username: 'xiaohao', iat: 1667830826, exp: 1667832626 } 校验成功返回用户名,iat 发布时间,exp 到期时间
            if(rel.username){
                // 校验成功--中间件放行
                next();
            }
        }),err => {
            res.send("token过期,请重新登录" + err)
        })
    }else{
        // 如果没有token
        res.send("授权失败请先登录")
    }
})


// 获取信息的接口
app.get("/msg",(req,res)=>{
    res.send("其他信息")
})


app.listen(3000,() => {
    console.log("您的服务器以光速启动--->>>>>>");
})

5.前台发起ajax请求,先登录,调用接口生成token,并存储在localstorage中,后获取信息,把存储的token放在请求头中,调用接口后,执行验证token的函数,验证成功放行后面的接口。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <script src="http://code.jquery.com/jquery-2.1.1.min.js"></script>
</head>
<body>
    <button>登录</button>
    <button>获取后台其他信息</button>
    <script>
        $('button').eq(0).click(function(){
            $.ajax({
                type:"POST",
                url:"http://localhost:3000/login",
                data:{
                    username:"xiaohao",
                    password:"123456"
                },

                success:function(data){
                    console.log('data',data);
                    // 客户端存储token
                    localStorage.setItem('token',data.token)
                },
                error:function(err){
                    console.log('err',err);
                }
            })
        })

        $('button').eq(1).click(function(){
            $.ajax({
                type:"get",
                url:"http://localhost:3000/msg",
                // 并在每次访问时加上这个token值。
                headers:{
                    // 翻译:授权;许可;权限的意思
                    Authorization:localStorage.getItem('token') || ''
                },
                success:function(data){
                    console.log('data',data);
                    localStorage.setItem('token',data.token)
                },
                error:function(err){
                    console.log('err',err);
                }
            })
        })
    </script>
</body>
</html>

Shaw Jie�
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销。 2:jwt构成简单,占用很少的字节,便于传输。 3:json格式通用,不同语言之间都可以使用。 三:JWT组成 1:jwt由三部分组成:      头部(header)      载荷(payload) 包含一
十分钟,带你看懂JWT(Json Web Token
最新发布
cul1n的博客
02-20 1227
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWTJWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
jwt判断token是否过期_SpringBootSecurity学习(13)前后端分离版之JWT
weixin_39608063的博客
11-26 1408
JWT 使用前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。一种解决方...
laravel使用jwt返回token
bo20010830的博客
06-03 328
用passport实现接口的登录jwt生成(生成token) 安装passport插件 composer require laravel/passport //执迁迁移文件,生成数据表,保存token数据 php artisan migrate //生成客户端授权码 php artisan passport:install ...
ajax获取jwt token,【编程】jwt认证生成后的token如何传回后端并解析的详解
weixin_31075273的博客
08-06 1362
jwt认证生成后的token后端解析一.首先前端发送tokentoken所在的位置headers{'authorization':token的值',Content-Type':application/json}在ajax写//只展示headers部分代码headers:{"authorization":this.$cookies.get("token")}//token值一般是放在cookies里...
JWT 实现登录
Dailyblue的专栏
06-24 7794
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
【2023/2/1】JWT 学习、实操一个简易的登录流程
qq_43774264的博客
02-01 934
token
使用jwt实现登录功能
weixin_44712778的博客
05-26 5642
一、什么是jwt 1.什么是session 要想知道什么是jwt,就要先知道什么是session,可以这样理解session,处于安全问题,有一些数据需要保存在服务端,服务端根据客户端的sessionId可以识别到它的session,然后进行数据的处理。 session一般存储一些简单,并且比较重要的信息,例如用户id,用户登录状态,权限等。 注意,如果用户禁用了cookie,那么session也就无法使用,因为session使用cookie中携带的唯一id才能在服务器中找到 2.什么是jwtjwt
【springboot开发】JWT实现用户验证登录
idiotyi的博客
06-07 1322
JWT完整流程如下:用户使用账号和密码发起 POST 请求;服务器使用私钥创建一个 JWT;服务器返回这个 JWT 给浏览器;浏览器将该 JWT 串在请求头中像服务器发送请求;服务器验证该 JWT;返回响应的资源给浏览器。
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
详解JWT token心得与使用实例
01-21
token串的生成流程token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256...
JWT的知识总结
Myzhujie的博客
09-04 1666
JWT的基础知识
spring security 实现自定义认证和登录(3):使用JWT生成token返回给用户
qq_45691577的博客
03-05 1189
前面我们已经实现了登录,为了验证用户日后的请求是否有效,我们生成一个token给用户,用户将token保存起来,用户每次发送请求时我们验证其token是否有效,下面使用JWT生成token并返回给用户。
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 4981
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JwtToken详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
JWT入门以及常见的登录问题
霁晨晨晨的博客
05-31 2万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
jwt实现登录验证
lyc000412的博客
03-12 2101
jwt实现登录验证
jwt生成token详解
06-01
JWT(JSON Web Token)是一种用于身份验证的开放标准(RFC 7519)。它通过数字签名验证消息的完整性,因此,JWT可以安全地传输信息。JWT通常用于Web应用程序中,以验证用户的身份。 生成JWT token的步骤如下: 1. 首先,需要选择一个加密算法,如HMAC SHA256或RSA。 2. 构建JWT token的header部分。header部分是一个JSON对象,它描述了JWT的类型和加密算法。例如: ``` { "alg": "HS256", "typ": "JWT" } ``` 其中,"alg"表示使用的加密算法,"typ"表示JWT的类型。 3. 构建JWT token的payload部分。payload部分也是一个JSON对象,它包含要传输的信息,例如用户ID、用户名、过期时间等。例如: ``` { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } ``` 其中,"sub"表示主题(通常是用户ID),"name"表示用户名,"iat"表示JWT的发布时间。 4. 使用密钥对header部分和payload部分进行签名。签名可以确保消息的完整性和真实性。签名的方法取决于所选择的加密算法。例如,如果使用HMAC SHA256,签名可以如下计算: ``` HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` 其中,"secret"是一个密钥,用于计算签名。 5. 将header部分、payload部分和签名组合在一起,用"点"连接起来,形成JWT token。例如: ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIy. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 其中,第一个部分是base64UrlEncode后的header部分,第二个部分是base64UrlEncode后的payload部分,第三个部分是签名。 因为JWT token包含签名,所以接收方可以验证它的完整性和真实性。如果签名验证失败,说明该消息可能已被篡改或伪造。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值