1、用户使用用户名和密码登录
2、服务器验证用户凭据
3、一旦凭据验证成功,服务器会创建一个 JWT 并返回给用户
4、用户将 JWT 存储在本地,通常是 cookie 或者 localStorage
5、用户每次向服务器发送请求时,都会在请求头中包含 JWT
6、服务器会验证 JWT ,如果验证通过,则会处理请求,返回数据
7、如果用户注销或者 JWT 过期,服务器会拒绝请求
以下是 JWT 在服务端的认证示例:
const jwt = require('jsonwebtoken');
const secret = 'your-secret-key';
// 用户登录
app.post('/login', (req, res) => {
const { username, password } = req.body;
// 验证用户名和密码
const user = authenticate(username, password);
if (user) {
// 创建 JWT
const token = jwt.sign({ id: user.id }, secret);
// 将 JWT 发送给用户
res.json({ token });
} else {
res.status(401).send('Invalid credentials');
}
});
// 用户请求资源
app.get('/resource', (req, res) => {
const token = req.headers['authorization'];
// 验证 JWT
jwt.verify(token, secret, (err, decoded) => {
if (err) {
res.status(401).send('Invalid token');
} else {
// 处理请求
res.json({ resource: 'Here is your resource' });
}
});
});