jwt实现token鉴权(nodejs koa)

最新推荐文章于 2024-07-26 15:24:01 发布
最新推荐文章于 2024-07-26 15:24:01 发布
阅读量647 收藏 6
点赞数
分类专栏: nodejs 文章标签: node.js jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingbing1128/article/details/120120557
版权

为什么需要token?

在后台管理系统中,我们通常使用cookie-session的方式用于鉴权,如何通过cookie、session鉴权(nodejs/koa)但这种方式存在着以下问题

  1. 比如cookie的容量太小
  2. 浏览器端和app端发送http请求时携带cookie会有差异
  3. 分布式系统和服务器集群保证如何保证sessionId是相同

基于以上问题,有了token这种方式,token的鉴权不受浏览器或app端的限制,通用性安全性都更强。

数据格式实现token的鉴权方式通常使用jwt,即json web token,jwt的格式如 xxx.yyy.zzz

  • xxx的部分用来描述使用什么样的加密方式
  • yyy的部分是携带的数据,比如id,name,通常还会携带 iat(issue at)发布时间, exp(expiration time)过期时间,用于鉴权的时候判断此token是否在有效期内,以上xxx和yyy都是对json数据以base64编码的方式进行转换
  • zzz是对xxx.yyy再加上密钥进行加密,加密的方式在header中。
    在这里插入图片描述

比如上图中,服务器生成token使用的加密方式是 HS256,需保存的内容为 id 和 name,密钥为123456

  • header 部分
{"alg":"HS256","typ":"JWT"}
// base64编码结果:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
  • playload部分
{"id":1,"name":"Alice","iat":1630814528619,"exp":1630816048023}
// base64编码结果:eyJpZCI6MSwibmFtZSI6IkFsaWNlIiwiaWF0IjoxNjMwODE0NTI4NjE5LCJleHAiOjE2MzA4MTYwNDgwMjN9
  • signature部分
// 加密结果为:B2df_qYbivZcjpJ_QtIyRu4ts6n_pwxlSQl41Bpsxz8

最后的结果就是把三部分拼接起来,以 . 分隔

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwibmFtZSI6IkFsaWNlIiwiaWF0IjoxNjMwODE0NTI4NjE5LCJleHAiOjE2MzA4MTYwNDgwMjN9.B2df_qYbivZcjpJ_QtIyRu4ts6n_pwxlSQl41Bpsxz8

在这里插入图片描述

可以看到jwt的header和payload都是用base64进行编码的,也可解码,所以并不能存放重要信息,而jwt数据的传递也不是为了加密重要信息,jwt的singature部分是需要通过密钥来加密的,只要密钥不泄露,身份就不容易被伪造。

如何使用

jwt可以用于客户端向服务器发送的请求的时候携带,放置到 header中,使用 authorization 这个字段,使用 Bearer的方式
在这里插入图片描述

公钥和私钥

  • 对称加密算法,只用一个密钥加密和解密
  • 非对称加密算法,公钥用于加密,私钥用于解密
    openssl中可以生成公钥和私钥
// 生成公钥
genrsa -out private.key 2048
// 生成私钥
rsa -in private.key -puout -out public.key

分别生成 public.key 和 private.key 文件

服务器如何鉴权

用户登录成功后,服务器返回token,以Koa来做个演示

const jwt = require("jsonwebtoken")
const PRIVATE_KEY = fs.readFileSync('./private.key')

const user = { id: 1, name: 'kiki'}
const token = jwt.sign(user, PRIVATE_KEY, {
    expiresIn: 10, // 单位s
    algorithm: "RS256"
})

客户端将在header中的authorization携带token数据,服务器校验token的有效性和正确性

const PUBLIC_KEY = fs.readFileSync('./public.key')

const authorization = ctx.headers.authorization
const token = authorization.replace("Bearer ", "")

// 如果失败会直接报错, 所以需要捕获
try {
    const result = jwt.verify(token, PUBLIC_KEY, {
        algorithms: ["RS256"]
    })
    // 拿到的信息是 { id: 1, name: 'kiki', iat: '', exp: ''}
} catch(error){
    
}
一颗冰淇淋
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
使用JWT生成Token进行接口鉴权实现方法
penriver的博客
09-24 2473
利用JWT进行鉴权的思路 用户发起登录请求。 服务器使用私钥创建一个jwt字符串,作为token; 服务器将这个token返回给浏览器; 在后续请求中,token作为请求头的内容,发给服务端。 服务端拿到token之后进行解密,正确解密表示此次请求合法,验证通过;解密失败说明Token无效或者已过期 返回响应的资源给浏览器 JWT介绍 什么是JWT JSON Web令牌(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在通信双方之间安全地传输信息。由于该
从零开始搭建nestjs项目-4 jwt鉴权
最新发布
z37411的博客
07-26 403
该文章主要讲述jwt鉴权以及相关代码,介绍了利用守卫实现全局身份验证保护,包括新建守卫及相关配置代码。
jwt token 鉴权验证
404源码社区 - Admin404
02-16 4182
1. JWT介绍 本文是在TP6.0使用JWT的示例 JWT全称: JSON Web Token,以 token 的方式代替传统的cookie、session模式,用于各服务器、客户端传递信息及签名验证 2. 新增自定义函数fault() 在app/common.php中新增以下函数 /** * 抛出异常错误 * * @param string $msg * @param integer $code */ function fault(string $msg = "", $co...
jwt鉴权token相关
程序媛的梦工厂
02-22 909
JWT是什么 JWT(JSON Web Token):用来在用户和服务器之间传递安全可靠的信息 三部分组成: eader(头部), 声明类型,这里是JWT,声明加密的算法,最后通过Base64编码 Payload(数据), 应用层自己带的数据信息。因为该部分是明文的, 所以不可以带敏感信息。 比如可以带 user_id, 但是不可以带 user 的密码等。 Signature(签名)HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey) 一
node.js】session认证机制JWT认证机制进行鉴权
micoria的博客
04-27 255
由于 用户进行访问 浏览器时,需要完成对用户身份的确认。称为身份验证,或者“鉴权”和“身份认证”。需要身份认证使用 session认证机制 或者 JWT 认证机制。 由于开发模式不同,身份认证也不同。 对于服务器渲染和前后端分离这两种开发模式来说,分别有不同的身份认证: 服务端渲染:即前后端不分离,推荐使用 session 认证机制,有利于 SEO,不存在跨域。 前后端分离:推荐使用 JWT 机制,在后台加载速度快。可以解决跨域 一、session 认证机制 由于 HTTP 协议 是无状态性(每次HTT
nodejs实现jwt
m0_67614517的博客
10-27 564
jwt是json web token的全称,他解决了session以上的问题,优点是服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展,什么情况下使用jwt比较合适,我觉得就是授权这个场景,因为jwt使用起来轻便,开销小,后端无状态,所以使用比较广泛。
Koa】利用 JWT 实现 token验证
Morilence的博客
02-14 3031
Koa 利用 JWT 实现 token验证一、JSON Web Token 简介二、使用 node-jsonwebtoken 实现验证(一)、安装引用(二)、token签发 —— jwt.sign()(三)、token验证 —— jwt.verify()(四)、负载解码 —— jwt.decode()(五)、验证失败的错误类型三、借助 koa-jwt 中间件简化验证 一、JSON Web Tok...
NodeJs】基于nodejskoa2搭建一个的后端服务框架并实现一个简单的token生成及校验功能
lixiaosenlin的专栏
12-24 2134
背景 最近在学习nodejs以及相关框架koa。后来发现学习时是学会了,但是没过多久再想使用时又忘了,于是决定通过一个小demo的形式将所学及所用的知识记录一下,便于日后回顾和使用。 案例介绍 本文将通过一个简单的小案例来搭建一个基于nodejs+koa的后端服务。主要涉及到的功能点有: token生成及校验 token校验中间件 不同模块路由拆分及组合 用户登录及信息查询API db相关操作类封装 常用工具类封装 项目目录结构 用到的知识点及第三方库 jsonwebtoken: 用于生成及校
jwt判断token是否过期_使用NodeJS实现JWT原理
weixin_39629129的博客
11-21 1117
作者:mariozheng 来源:前端开发社区JWT是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token一 .为什么需要会话管理我们用 nodejs 为前端或者其他服务提供 resful 接口时,http 协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户的上下文进行操作。所以...
nodejs面试官:如何实现jwt鉴权机制?说说你的思路
VAN
02-13 614
前端八股文
koa-jwt + jsonwebtoken 完成用户鉴权功能
高先生的猫
12-14 1143
使用 koa-jwt + jsonwebtoken 完成用户鉴权功能。 项目地址:https://github.com/Ewall1106/mall 安装 首先我们安装 koa-jwt 和 jsonwebtoken这两个 npm 包。 $ npm install koa-jwt jsonwebtoken --save 先明确一下两者的关系:koa-jwt 是负责对 token 进行验证的,而 jsonwebtoken 是负责生成 token 的。 JWT 鉴权 在 app.js 中引入..
Jwt(Json web token)——使用token的权限验证方法 & 用户+角色
2401_84689725的博客
05-12 973
/ 可以获得该方法上的所有注解。ResultCode.USER_NOT_LOGIN_ERROR, new Date(),“用户没有登陆异常”USER_LOGIN_TOKEN_EXPIRED_ERROR(42040,“token已过期异常”),ResultCode.USER_ACCESS_ERROR, new Date(),“对不起权限不足”USER_FIND_ERROR(40010,“非法请求,布隆过滤器不通过”),USER_NOT_LOGIN_ERROR(40040,“用户没有登陆异常”),
鉴权—cookie、session、tokenjwt、单点登录
weixin_62079735的博客
02-25 1115
鉴权必须了解的5个兄弟:cookie、session、tokenjwt、单点登录
Node如何实现jwt鉴权机制?说说你的思路
web秀
05-10 504
一、是什么 JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息 在目前前后端分离的开发过程中,使用token鉴权机制用于身份验证是最常见的方案,流程如下: 服务器当验证用户账号和密码正确的时候,给用户颁发一个令牌,这个令牌作为后续用户访问一些接口的凭证 后续访问会根据这个令牌判断用户时候有权限进行访问 Token,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以.进行拼接。其中头部和载.
NodeJS 中配置token,要求请求头传递token,在koa框架下
小火车况且况且况且的博客
03-20 3952
NodeJS 中配置token 首先安装jsonwebtoken第三方模块 npm i jsonwebtoken 文档说明 使用的基本格式 jwt.sign(payload,secret,expiresIn) 其中payload是需要保存的数据 secret密匙,在设置token和解析token的时候都需要用到 expiresIn可以设置过期的时间 const jwt= require(...
jwt鉴权过程与安全性分析
weixin_46235143的博客
04-01 1298
JWT(JSON Web Token)是一种基于标准JSON格式的轻量级身份认证和授权协议。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。下面简要介绍JWT的使用过程:用户通过用户名和密码向服务器发送登录请求。服务器收到请求后,验证用户名和密码是否正确。如果验证通过,服务器将用户信息作为Payload(载荷)加入到JWT中,并设置过期时间等信息,然后使用加密算法生成Signature(签名)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值