jsonwebtoken&&koa-jswt

最新推荐文章于 2024-05-08 20:32:28 发布
最新推荐文章于 2024-05-08 20:32:28 发布
阅读量304 收藏 1
点赞数
分类专栏: nodeJs
原文链接:https://blog.csdn.net/CarrreyYan_979292/article/details/104447580?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162143464316780262536293%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=16214346431678026253629
版权

jsonwebtoken&&koa-jswt

jwt

作用:鉴权。 代替了 cookies session

jwt特点

(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。
(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

Jwt 不加密;生成Token 后可加密。过期时间短 。适合https服务

导入模块

npm install jsonwebtoken

在js文件中引用

var jwt = require("jsonwebtoken");

生成Token

var content ={msg:"today  is  a  good  day"}; // 要生成token的主题信息
var secretOrPrivateKey="I am a goog perphon!" // 这是加密的key(密钥) 
var token = jwt.sign(content, secretOrPrivateKey, {
                    expiresIn: 60*60*24  // 24小时过期
                });
console.log("token :" +token );

校验Token

var token = rq.body.token || rq.query.token || rq.headers["x-access-token"]; // 从body或query或者header中获取token
jwt.verify(token, secretOrPrivateKey, function (err, decode) {
            if (err) {  //  时间失效的时候/ 伪造的token          
               rs.json({err:err})
            } else {
                rq.decode = decode; 
                console.log(decode.msg);   // today  is  a  good  day
                next();
            }
 })

注意事项

请使用expiresIn:以秒为单位或描述的时间跨度字符串表示。如:60,”2 days”,”10h”,”7d”

verify时返回的err的值
"err": {
    "name": "TokenExpiredError",
    "message": "jwt expired",   //  token过了有效期
    "expiredAt": "2016-11-07T03:31:25.000Z"
  }

"err": {
    "name": "JsonWebTokenError",
    "message": "invalid token"  //  伪造/无效的token
  }

为什么要用token验证?给你留一个自学的空间!)

以下在koa框架中使用方式

koa-jwt

简介

  • koa-jwt主要提供路有权限控制的功能,它会对需要限制的资源请求进行检查

  • token默认被携带在Headers 中的名为Authorization的键值对中,koa-jwt也是在该位置获取token的-

也可以使用Cookie来提供令牌

  • app.use(jwt( { secret: 'shared-secret', passthrough:true }))
    通过添加一个passthrough选项来保证始终传递到下一个(中间件)

  • app.use(jwt({ secret: 'shared-secret', key: 'jwtdata' }))
    可以使用另外一ctx key来表示解码数据,然后就可以通过ctx.state.jwtdata代替ctx.state.user获得解码数据

  • secret的值可以使用函数代替,以此产生动态的加密秘钥

  • koa-jwt依赖于jsonwebtokenkoa-unless两个库的

koa-jwt 示例
  • 示例中使用了jwt-simple,也可以选择使jsonwebtoken
const Koa = require('koa')
const Router = require('koa-router')
const jwt = require('jwt-simple')

const koaBody = require('koa-body')

const koaJwt = require('koa-jwt') //路由权限控制

const app = new Koa()
const  router = new Router()

//秘钥
const jwtSecret = 'jwtSecret'
const tokenExpiresTime = 1000 * 60 * 60 * 24 * 7

// Custom 401 handling if you don't want to expose koa-jwt errors to users
app.use(function(ctx, next){
    return next().catch((err) => {
        if (401 == err.status) {
            ctx.status = 401;
            ctx.body = 'Protected resource, use Authorization header to get access\n';
        } else {
            throw err;
        }
    });
});
// 将token 挂到服务岐上
app.use(koaJwt({secret:jwtSecret}).unless({
    path:[/^\/login/]
}))

router.get('/', (ctx) => {
    ctx.body = 'Hello koa-jwt'
})

// router.use(koaJwt(jwtSecret).unless({
//     path:[/^\/login/]
// }))

router.post('/login', koaBody(), (ctx) => {

    const user = ctx.request.body

    if (user && user.name){
        let payload = {
            exp:Date.now() + tokenExpiresTime,
            name:user.name
        }
        // 生成token
        let token = jwt.encode(payload, jwtSecret)

        ctx.body = {
            user:user.name,
            code:1,
            token
        }
    }else {
        ctx.body = {
            code:-1
        }
    }
})

// router.use(koaJwt(jwtSecret))

router.get('/userInfo', ctx => {
    let token = ctx.header.authorization

    ctx.body = {
        token:token,
        user:ctx.state.user
    }

    //使用jwt-simple自行解析数据
   let payload = jwt.decode(token.split(' ')[1], jwtSecret);
    console.log(payload)
})

app.use(router.routes())
app.use(router.allowedMethods())

app.listen(3000, () => {
    console.log('app listening 3000...')
})
TZOF_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT-基于token的认证方式
学习
06-20 807
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 认证是用来判断用户身份。 为了避免每次都要重新认证,可以在认证成功后创建会话,
Node.js使用jwt或session实现前后端身份认证
SongD1114的博客
04-03 1182
Node.js通过session或jwt身份认证
koa框架中jwt的使用(jsonwebtoken
weixin_44206947的博客
03-05 1681
一、安装jsonwebtokenkoa-jwt yarn add jsonwebtoken koa-jwt 或 npm install jsonwebtoken koa-jwt 先安装 jsonwebtokenkoa-jwt 后面需要导入使用 二、使用步骤 1.登录接口:生成token 上图表示在登录接口请求成功后,使用jwt.sign生成token并一起返回给前端 const token = jwt.sign({ data //用户数据 },'vueManager',{expiresIn:
2024年鸿蒙最新Nodejs入门 token校验_jsonwebtoken(1),面试被打
最新发布
2401_84862124的博客
05-08 682
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上鸿蒙开发知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化的资料的朋友,可以戳这里获取套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
JSON Web Tokens(JWT
小卡拉米的博客
12-10 1087
JWT 即:JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT 常用于代替 Session,用于识别用户身份。
node中使用jsonwebtoken实现身份认证
jieyucx的博客
07-27 1687
jwt介绍JWT)是一种基于JSON的开放标准,用于在网络上以安全方式传输声明。JWT通常用于身份验证和授权。它是一种可自包含的身份认证机制,由三部分组成头部、载荷和签名。JWT的头部和载荷都是使用Base64编码后的JSON字符串,签名是由头部和载荷使用密钥进行哈希计算得到的字符串。JWT可以在客户端和服务器之间传输,并且可以在传输过程中防止数据被篡改。由于它是无状态的,因此可以简化Web应用程序的开发和维护。在本文中,我们探讨了如何在Node.js的Express框架中使用来实现身份认证。
JWT认证漏洞总结
渗透测试研究中心
09-16 3414
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
node使用JSON Web Token (JWT)身份验证
失眠时间的博客
12-15 750
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT是由header(头部)payload(数据)signature(签名)三部分组成,中间用点分隔开,并且都会使用 Base64 编码。 ———————————————— 版权声明:本文为CSDN博主「失眠时间」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
javascript - 手动实现一个jsonwebtoken_个人文章 - SegmentFault 思否
热爱科学、文人、计算机
12-23 235
javascript - 手动实现一个jsonwebtoken_个人文章 - SegmentFault 思否
JWT(JSON Web Token)详解
qq_41644069的博客
11-09 678
1.JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
在Node中使用JWT(JSON Web Token) 实现用户认证
学习笔记
08-31 441
安装npm包: npm i jsonwebtoken 使用jsonwebtoken包,可以创建 authentication token, 并验证token是否仍然有效,是否过期。 JWT 分3个部分: Header, Payload, Signature 测试代码: const jwt = require("jsonwebtoken"); const myFunc = async () => { const token = await jwt.sign({ _id: 1234 }, "mysec
示范Node.js实现JSON Web TokenJWT)的代码教程与范例
qq_38334677的博客
03-05 969
jwtjson web token的全称,他解决了session以上的问题,优点是服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展,什么情况下使用jwt比较合适,我觉得就是授权这个场景,因为jwt使用起来轻便,开销小,后端无状态,所以使用比较广泛。
koa 实现 jwt 认证
weixin_34318272的博客
11-26 333
关于 Token 认证机制,这里不做更多解释。不清楚的可以看我的这篇文章:Web开发中常见的认证机制GitHub 地址:koa-jwt-sample 所需库 bcrypt - 用于加密密码 koa-jwt - jwt 中间件 jsonwebtoken - 用于生成token下发给浏览器,在 koa2 以后的版本不再提供 jsonwebt...
Nodejs项目中使用token验证,jwt,jsonwebtoken
热门推荐
知无涯
11-09 1万+
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析. 抽空研究了一下nodejs的jwt如何做,下面来记录一下 使用的包是 "jsonwebtoken": "^8.3.0" 包的github地址 主要用到的方法是 生成token jwt.sign() 验证token jwt.verify() ...
使用koa-jwt进行身份验证——koa2
qq_39905409的博客
12-19 7232
1、安装koa-jwtjsonwebtoken 2、后台用jsonwebtoken生成token users.js文件 3、前端接收数据为 4、前端将token保存到本地,请求接口时就带上这个token 注意:jwt-koa的验证机制需要将token设置为“authorization:Bearer token”,否则会报错 5、后台先用jwt-koa检测是否存在authorizatio...
基于API的用户认证(OAuth2.0,JWT(json web token))了解
a8725585的博客
06-19 7564
1.OAuth2.0 API接口权限认证OAuth2.0流程(用户访问客户端并将其导向认证服务器->用户授权->认证服务器将用户导向客服端redirectURL并附带授权code->客户端将code和redirecURL发送给验证服务器申请token->验证服务器验证redirectURL和code->发送token和refreshtoken给客户端->客户端url加上token成功访问网址)
koa2实现token验证
weixin_43801907的博客
04-04 2465
token验证的理解 token验证是一种web安全的手段,我们要求来自客户端的请求必须携带token(登录请求除外),服务端每次处理请求都会验证token,验证通过则继续后续逻辑,否则返回相应状态码打回 用到的包 npm install jsonwebtoken --save 复制代码通过jsonwebtoken可以创建token或解码已有token获取信息 const jwt = requ...
(转)Koa 使用 JsonWebTokenJWT)的解决方案
CaseyWei
09-24 419
1. 依赖 jsonwebtoken 用于签发、解析 token koa-jwt 用于路由权限控制 koa-bodyparser 用于解析 post 数据 2. 创建一个简单的 Token 获取与验证机制 导入模块 npm install jsonwebtoken npm install koa-jwt npm install koa-bodyparser 2.1 获取 Token 引入 jsonwebtoken 库,可以根据传入的 json 字符串生成一个 token 信息。客户端可以.
NodeJs JsonWebToken
BigManing的博客
11-07 1万+
nodejs中生成/校验token
前端jsonwebtokenjwt)解码token
田雅雯的博客
10-09 9533
前端jsonwebtokenjwt)解码token 1.在cmd中输入以下命令,安装jwt模块 npm install jsonwebtoken 2.在js文件中引用 var jwt = require(“jsonwebtoken”); 3.解码 jwt.decode(‘token’) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值