jwt在登录时进行token的加密

于 2024-05-28 17:19:44 发布
阅读量134 收藏
点赞数 2
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wx001214/article/details/139272790
版权

前端

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>JWT 鉴权机制</title>
    <link
      rel="stylesheet"
      href="node_modules/bootstrap/dist/css/bootstrap.min.css"
    />
  </head>
  <body>
    <div class="container clearfix">
      <form class="mt-5">
        <div class="mb-3">
          <label class="form-label">用户名</label>
          <input
            type="text"
            class="form-control"
            name="username"
            value="zhangsan"
          />
        </div>
        <div class="mb-3">
          <label class="form-label">密码</label>
          <input
            type="password"
            class="form-control"
            name="password"
            value="123456"
          />
        </div>
        <button type="submit" class="btn btn-primary">登录</button>
      </form>
      <button type="button" class="btn btn-secondary mt-5" id="protectedBtn">
        访问受保护的资源
      </button>
    </div>
    <script src="node_modules/axios/dist/axios.min.js"></script>
    <script>
      // 获取表单 DOM 对象
      const form = document.querySelector("form");
      // 获取受保护资源按钮 DOM 对象
      const protectedBtn = document.querySelector("#protectedBtn");

      // 监听表单的提交事件
      form.addEventListener("submit", async (e) => {
        // 阻止表单默认提交行为
        e.preventDefault();
        // 获取表单数据
        const formData = new FormData(form);
        const username = formData.get("username");
        const password = formData.get("password");

        try {
          // 发送 POST 请求到登录接口
          const response = await axios.post("http://localhost:3000/login", {
            username,
            password,
          });
          // 将 token 存储在 localStorage
          localStorage.setItem("accessToken", response.data.accessToken);
          localStorage.setItem("refreshToken", response.data.refreshToken);
          // 可以重定向到其他页面或显示登录成功信息
          alert("登录成功!");
        } catch (error) {
          // 处理错误,例如显示登录失败信息
          alert(error.response.data.message);
        }
      });

      // 监听按钮的点击事件
      protectedBtn.addEventListener("click", async () => {
        try {
          // 从 localStorage 获取 accessToken
          const accessToken = localStorage.getItem("accessToken");
          if (!accessToken) {
            alert("未登录或登录已过期,请重新登录获取访问令牌。");
            return;
          }

          // 发送 GET 请求到受保护的资源接口
          const response = await axios.get("http://localhost:3000/protected", {
            headers: {
              Authorization: `Bearer ${accessToken}`,
            },
          });

          // 显示受保护资源的数据
          alert(response.data.message);
        } catch (error) {
          if (error.response && error.response.status === 401) {
            // 如果访问令牌过期,尝试使用刷新令牌获取新的访问令牌
            try {
              const refreshToken = localStorage.getItem("refreshToken");
              const refreshResponse = await axios.post(
                "http://localhost:3000/refresh",
                {
                  refreshToken,
                }
              );
              localStorage.setItem(
                "accessToken",
                refreshResponse.data.accessToken
              );
              localStorage.setItem(
                "refreshToken",
                refreshResponse.data.refreshToken
              );

              // 重新尝试原来的请求
              const retryResponse = await axios.get(
                "http://localhost:3000/protected",
                {
                  headers: {
                    Authorization: `Bearer ${refreshResponse.data.accessToken}`,
                  },
                }
              );
              alert(retryResponse.data.message);
            } catch (refreshError) {
              alert("无法刷新令牌,请重新登录。");
            }
          } else {
            alert(error.response.data.message);
          }
        }
      });
    </script>
  </body>
</html>

后端

// 引入必要的模块
const express = require("express");
const bodyParser = require("body-parser");
const jwt = require("jsonwebtoken");
const bcrypt = require("bcryptjs");
const cors = require("cors");

// 创建 Express 应用
const app = express();
const PORT = 3000;

// 定义 JWT 密钥
const SECRET_KEY = "your_secret_key";
const REFRESH_SECRET_KEY = "your_refresh_secret_key";

// 允许跨域访问
app.use(cors());

// 使用 bodyParser 中间件来解析 JSON 请求体
app.use(bodyParser.json());

// 用户数据,通常应该存储在数据库中
const users = [
  {
    id: 1,
    username: "zhangsan",
    password: bcrypt.hashSync("123456", 10),
  },
];

// 登录接口
app.post("/login", async (req, res) => {
  const { username, password } = req.body;
  const user = users.find((u) => u.username === username);
  if (!user) {
    return res.status(401).json({ message: "登录失败1" });
  }
  const isPasswordValid = await bcrypt.compare(password, user.password);
  if (!isPasswordValid) {
    return res.status(401).json({ message: "登录失败2" });
  }
  const accessToken = jwt.sign({ id: user.id }, SECRET_KEY, {
    expiresIn: "15m",
  });
  const refreshToken = jwt.sign({ id: user.id }, REFRESH_SECRET_KEY, {
    expiresIn: "7d",
  });
  res.json({ accessToken, refreshToken });
});

// 刷新令牌接口
app.post("/refresh", (req, res) => {
  const { refreshToken } = req.body;
  try {
    const decoded = jwt.verify(refreshToken, REFRESH_SECRET_KEY);
    const newAccessToken = jwt.sign({ id: decoded.id }, SECRET_KEY, {
      expiresIn: "15m",
    });
    const newRefreshToken = jwt.sign({ id: decoded.id }, REFRESH_SECRET_KEY, {
      expiresIn: "7d",
    });
    res.json({ accessToken: newAccessToken, refreshToken: newRefreshToken });
  } catch (error) {
    return res.status(401).json({ message: "刷新令牌失败" });
  }
});

// JWT 验证中间件
function authenticateToken(req, res, next) {
  const authHeader = req.headers["authorization"];
  const token = authHeader && authHeader.split(" ")[1];
  if (token == null) return res.sendStatus(401);
  jwt.verify(token, SECRET_KEY, (err, user) => {
    if (err)
      return res.status(401).json({ message: "未能成功访问到受保护的资源" });
    req.user = user;
    next();
  });
}

// 受保护的资源接口
app.get("/protected", authenticateToken, (req, res) => {
  res.json({
    message: `欢迎, 你的 ID 是 ${req.user.id}. 你正在访问受保护的资源`,
  });
});

// 启动服务器
app.listen(PORT, () => {
  console.log(`Server running on port ${PORT}`);
});

苹果电脑的鑫鑫
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | 密码学】JWT基础知识及攻击方式详析
等风来
04-17 1122
JWT(Json Web Token)是一种用于在网络应用之间安全地传输信息的开放标准。它通过将用户信息以JSON格式加密并封装在一个token中,然后将该token发送给服务端进行验证,从而实现身份验证和授权。
Jwt Token 加密
Continue_Python的博客
07-11 967
token生成
jwt加密原理,和token的简单操作
qq_51705526的博客
04-03 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问,需要携带token,服务端获取token后再去数据库获取token做校验。 JWTtoken认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 因为HTTP request 本身是stateless的,所
【网络安全 密码学】JWT基础知识及攻击方式详析
最新发布
2401_84968977的博客
05-13 990
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
thinkphp 使用jwt生成token加密解密
munchmills的博客
10-27 1576
thinkphp6 使用jwt 加密解密的方法
如何给token加密以及token的生成
qq_53818683的博客
04-20 2948
将生成的密钥保存在服务器端,并使用该密钥对需要加密token 进行加密。如果使用的是对称加密算法,如 AES,则使用相同的密钥进行加密和解密。如果使用的是非对称加密算法,如 RSA,则使用公钥进行加密,使用私钥进行解密。需要注意的是,在实现过程中还要考虑到其他安全问题,例如 token 泄露、中间人攻击等,以确保加密后的 token 能够真正保护数据的安全。定期更换密钥以维持安全性,并确保采用足够复杂度的密钥,例如使用足够长的密码、随机数等。
JWT 网关TOKEN 加密
05-15
总的来说,为了增强JWT网关TOKEN的安全性,我们可以采用AES算法对JWT进行加密。通过设置足够长的密钥,可以有效防止非法破解,同AES的高效性能确保了在系统中的无缝集成,不会对整体性能产生显著影响。此外,由于...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
JWT Token实现方法及步骤详解
09-07
JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求与服务器交互。它由三部分组成:Header、Payload 和 Signature,通过 Base64 编码后连接而成,通常用“.”分隔。 1. Header Header ...
springboot+jwt实现token登陆权限认证的实现
08-19
* 跨语言支持:因为 Token 是以 JSON 加密的形式保存在客户端的,所以 JWT 是跨语言支持的。 * 不需要在服务端保存会话信息,适用于分布式与微服务。 使用 Spring Boot 和 JWT 实现 Token 登录权限认证 在本文中,...
详解JWT token心得与使用实例
01-21
token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该...
Springboot +JWT实现登录认证,密码加密Token校验全过程(附源码)
dingdingdandan
05-09 7766
JWT实现登录认证简介环境1. 依赖2. token生成及校验3. 登录4. 编写拦截器进行token校验5. 源码下载 简介 通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下: 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通
jwt_token及session及对称加密和非对称加密
tianshuiyimo的博客
09-06 711
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。起源说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。
JWT token加密
小甜宝的博客
12-20 4620
使用jhipster生成的微服务,采用其默认的JWT认证方式。代码中获取用户是通过SecurityUtils.getCurrentUserLogin().orElse("admin");方式获取用户信息。 在测试系统中,测试完全没有问题。但是发布到正式环境后系统调用gateway中认证通过,但是调用其它的微服务认识失败,报错Invalid JWT signature。 开始以为是nginx代理...
利用jwt生成或解密token信息
热门推荐
天涯的博客
05-08 2万+
jwt(json web token)是一种能够允许我们在用户和服务器之间传递安全可靠信息的规范。它可以采用对称加密和非对称加密的方式,对我们所要传递的数据进行加密,防止数据的泄露。在web应用中,jwt通常可以结合Spring-security,对访问的页面进行安全保护,如果有需要,可以参照本文参考文献中的内容。本文主要对jwt的类进行封装,生成tocken信息。 JWT 由三...
OIDC--对 JWT标准的id_token进行验证和解密。
个人新博客: https://cbbfcd.github.io/
09-30 7575
记录一下OIDC中id_token的验证做的一个统一身份认证平台项目,用到了OIDC协议。 其中对OP返回的id_token进行验证的过程,写了一个demo。 用spring-boot写的,环境搭建就省略了,只是一个简单的方法。package com.example.demo;import com.nimbusds.jose.*; import com.nimbusds.jose.crypto.
JWT加密解密原理,token登出、改密失效、自动续期
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问,需要携带token,服务端获取token后再去数据库获取token做校验。 JWTtoken认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwttoken加密解密过程 2.1 生成
Oauth2+JWT 加密token
技术札记
07-08 9205
JWT 对称加密 JWT将 相关信息放在 令牌里 jwt全称 JSON Web Token。这个实现方式不用管如何进行存储(内存或磁盘), 因为它可以把相关信息数据编码存放在令牌里 。JwtTokenStore 不会保存任何数据, 但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。 安全性 OAuth2提供了JwtAccessTokenCo.........
php使用jwt的例子
Royal
11-14 1万+
前言关于jwt的介绍这里就不阐述了,相信你已经在网上看到了N篇介绍文章(你丫的讲那么多介绍到是告诉我怎么样呀!),关于php使用jwt的相关的使用却少的可怜,有的也看的模模糊糊,于是就自己整理,也方便自己以后进行查看。jwt版本php中jwt有3个版本:2.0、2.2、3.0。so!我们选择的是3.0的版本。别问为什么,你买电子产品都是买新不买旧呢。(说到这,想到了即将到手的iphonex,隐隐肾疼
jwt非对称加密生成token
03-29
在生成Token,使用私钥对Payload(负载)进行加密,生成签名,然后将签名和加密后的Payload组成Token返回给客户端。客户端在发送请求,需要将Token传递给服务器进行验证,服务器使用公钥对Token进行解密,验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值