JS42 利用JWT实现登录

最新推荐文章于 2024-08-10 20:27:07 发布
最新推荐文章于 2024-08-10 20:27:07 发布
阅读量2.5k 收藏 10
点赞数 1
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duola8789/article/details/80885150
版权

文章目录

利用JWT实现登录

1 什么是JWT

JWT是JSON WEB TOKEN的缩写,是为了在网络应用环境建传递声明而执行的一种基于JSON的开放标准。该Toekn被设计为紧凑并且安全的,特别适用于分布式站点的单点登录(SSO)

2 传统的session认证

传统的session认证是为了让我们的应用能识别是哪个用户发送的请求,需要在服务器存储一份用户的登陆信息,这份登陆信息会在返给用户的响应时传递给浏览器,浏览器保存为cookie,下次请求时发送给服务器,用来验证用户身份。

基于session认证存在一些问题:

  1. 用户增多,服务器保存的用户信息越来越多,服务端开销明显增大
  2. 在分布式的应用上,会限制负载均衡器的能力
  3. 由于是基于cookie来进行用户识别的,如果cookie被截取,会受到跨站请求伪造(CSRF)的攻击

3 基于token的鉴权机制

基于token的鉴权机制类似于http协议,也是无状态的,不需要在服务端保留用户的认证信息或者会话信息。这就意味着基于token认证的应用不需要考虑用户在哪一台服务器登陆了,为应用的扩展提供了遍历。

主要的流程如下:

  1. 用户使用用户名和密码来请求服务器登陆
  2. 服务器验证用户信息
  3. 服务器对通过验证的用户下发一个token
  4. 客户端收到token并存储,并且在以后的每次请求时再请求头中携带这个token
  5. 服务端在收到后续请求后对token验证,通过时返回对应数据

4 JWT的构成

JWT由三段信息构成,第一部分为头部(header),第二部分为载荷(payload),第三部分是签名(signature)

4.1 header

header用来描述描述关于该JWT的最基本的信息,承载两部分信息:

  1. 声明类型,这里是JWT
  2. 声明签名算法

这也可以被表示成一个JSON对象。

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密,构成了第一部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

4.2 payload

载荷是存放有效信息的地方,包含三个部分:

  1. 标准中注册的声明(建议但不强制使用)
    • iss: jwt签发者
    • sub: jwt所面向的用户
    • aud: 接收jwt的一方
    • exp: jwt的过期时间,这个过期时间必须要大于签发时间
    • nbf: 定义在什么时间之前,该jwt都是不可用的
    • iat: jwt的签发时间
    • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
  2. 公共的声明:可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密
  3. 私有的声明:提供者和消费者所共同定义的声明,不建议存放敏感信息,因为base64编码并不是加密过程,可以归类为明文信息

一个payload如下:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后对其进行base64编码,得到JWT的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

4.3 signature

签名信息由三个部分组成:

  1. header(base64编码后的)
  2. payload(base64编码后的)
  3. secret

secret是利用HS256T算法进行加密时的密钥,将header和payload使用secret进行加密后,构成了jwt的第三部分

// javascript
va
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
基于JWT实现单点登录
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
JWT实现的单点登录系统Demo
02-01
基于JWT实现的单点登录系统,使用idea开发的,可以供学习参考,有什么问题可以咨询
单点登录(SSO)与JWT
热门推荐
zhang_java_11的博客
07-30 1万+
一、 背景知识 什么是SSO 单点登录(Single sign On)说就是:一次登录后可免登陆访问其他的可信平台。比如我们登录淘宝网后,再打开天猫首页可以发现已经是登录状态了。SSO 是一种比较流行的服务于企业业务整合的一种解决方案。SSO 这个概念已经出现很久很久了,目前各种平台都有非常成熟的实现,比如OpenSSO,OpenAM,Kerberos,CAS等 Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A
token续签方案
最新发布
weixin_52236586的博客
08-10 352
在处理 Token 的有效期续签时,通常有两种主要策略:自动续签和手动续签。
JWT 单点登入
phone13144830339的博客
04-15 264
Maven SpringBoot 项目 引入jwt <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://ma...
jwt单点登录
m0_61682705的博客
11-20 1478
在我们日常开发中登录是每个系统都要做的,对于单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。开一下传统登录:单点登录:通俗讲:用户登录一次,就可已访问系统里的其他子系统。
vue+egg+jwt实现登录验证的示例代码
10-16
在讨论基于vue框架、后端egg.jsJWTJSON Web Tokens)实现登录验证的示例代码时,主要涉及的技术点包括前后端分离下的用户认证机制、JSON Web Tokens的使用、HTTP请求拦截以及cookie的操作。 首先,前端vue通过...
node实操jwt实现登录功能
weixin_44385241的博客
10-21 519
实操环境为node, 请求插件为axios, token生成插件为jsonwebtoken, token解析插件为express-jwt 1.JSON Web Token(简称JWT)是以JSON格式存储信息的Token,其结构图如下: 2.JSON Web令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是: 标头(Header):头部存储Token的类型和签名算法(上图中,类型是jwt,加密算法是HS256) 有效载荷(Payload):负载是Token要存储的信息(上图中,存储了用户姓名
Node.js-使用nodejs-koa2-mysql-sequelize-jwt实现登录注册文章增删改查接口
08-10
在本项目中,我们主要探讨如何使用Node.js的Koa2框架、MySQL数据库、Sequelize ORM以及JSON Web Tokens(JWT)来构建一个完整的登录注册系统,并实现文章的增删改查接口。以下是对这些技术及其应用的详细解析: 1. ...
【Koa】利用 JWT 实现 token验证
Morilence的博客
02-14 3057
Koa 利用 JWT 实现 token验证一、JSON Web Token 简介二、使用 node-jsonwebtoken 实现验证(一)、安装引用(二)、token签发 —— jwt.sign()(三)、token验证 —— jwt.verify()(四)、负载解码 —— jwt.decode()(五)、验证失败的错误类型三、借助 koa-jwt 中间件简化验证 一、JSON Web Tok...
login_push:vue + koa2 + jwt实现单点登录+ todolist增删改查
02-04
Vue + Koa2使用jwt实现单点登录 :wrapped_gift: 2018-12-17 本次更新README主要是把挂掉的图连接补上 从我个人角度来说,我还是蛮喜欢这样的全栈项目的,实践性很足,不一定要看我的代码,完全可以直接去写一个类似的todo,虽然页面上看起来很简单,但是存在很多知识点 jsonwebtoken如何实际运用? 单点登录路由的控制 如何使用koa2出一个让自己满意的后台开发环境 了解mongodb ,完成入门,了解大致api的使用 前端Vue React等等自己喜欢就好,写的多了,自然会越来越熟练 怎么运行? 需要环境:npm安装并启动的mongodb (环境有问题是肯定启动不起来的)
详解使用JWT实现单点登录(完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
js代码-JWTjson-web-token)-认识与学习
07-16
js代码-JWTjson-web-token)-认识与学习
JWT 单点登录
severl的博客
09-19 1659
JWT单点登录相关概念问题及基础操作介绍,附加面试题。
JWT单点登录
weixin_47188125的博客
08-27 1235
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输当然使用Session可以实现这个功能,但是使用Session的同时也会增加服务器的存储压力,而JWT是将存储的压力分布到各个客户端机器上,从而减轻服务器的压力。JWT由3个子字符串组成,分别为以及Signature。...
单点登录JWT的介绍与使用
小威的博客
09-14 3608
最近复习之前做的项目中包含的知识,看了之前看的视频的笔记,并结合自己的理解写下了这篇关于JWT知识的博客,希望能加深自己的印象以及帮助的诸位小伙伴儿们
js如何获取jwt信息_带你了解JWT安全原理
weixin_39962341的博客
11-21 966
以前我觉得成绩不重要。清华 、北大、复旦、交大 ,只能代表学生时代的成就。后来我发现,努力是种习惯,它会贯穿终生介绍 JWT的全称是Json Web Token。将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。jwt 之前,使用 session 来做用户认证,那我们先看看传统的sess...
Node.js Koa中JWT用户认证详解及实战
本文将深入探讨如何在Node.js环境中使用Koa框架实现JWTJSON Web Tokens)用户认证方法。首先,让我们回顾一下必要的前置知识: 1. 基于Token的身份验证:JWT是一种开放标准,用于在各方之间安全地传输信息,特别...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值