egg-JWT的使用(服务端和客户端保存登录状态)

已于 2022-09-27 14:26:03 修改
阅读量529 收藏
点赞数
分类专栏: egg 通用后端管理注册系统 文章标签: 前端 javascript typescript
于 2022-09-27 14:20:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihui61357457/article/details/127070540
版权

1.什么是JWT?

JSON Web Token(JWT)是一种客户端保存登录状态的解决方案
优点和使用redis保存登录状态一样, 能更好的支持分布式架构

2.JWT格式

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJpZCI6NSwidXNlcm5hbWUiOiJ6aGFvbGl1IiwiZW1haWwiOm51bGwsInBob25lIjpudWxsLCJjcmVhdGVkQXQiOiIyMDIwLTA3LTIzVDA3OjEzOjUzLjAwMFoiLCJ1cGRhdGVkQXQiOiIyMDIwLTA3LTIzVDA3OjEzOjUzLjAwMFoiLCJpYXQiOjE1OTU0OTE5ODAsImV4cCI6MTU5NjA5Njc4MH0.
cQGJ72tEtBZdSWo9igyMTFI9V3mt07FfNEdZcNUAFZ8

Header 头部
Payload 负载
Signature 签名

例如: 现在JWT中保存的是张三, 那么当前的签名就是张三的指纹
      如果有人修改了JWT中保存的数据, 例如修改成了李四
      将来如果拿着李四和张三的指纹进行匹配, 那么就不匹配, 那么就怎么有人篡改了数据

https://jwt.io/

3.JWT弊端

- JWT 的最大缺点是,由于服务器不保存登录状态,因此无法在使用过程中废止某个
  登录状态,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前
  就会始终有效,除非服务器部署额外的逻辑。
- JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了
  减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应 
  该再次对用户进行认证。
- 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

4.使用JWT
4.1 安装JSON Web Token

npm install jsonwebtoken

4.2 如何使用JWT

- 服务端生成jwt令牌,发送给客户端
- 客户端将令牌保存到cookie或者sessionStorage、localStorage中
- 客户端每次发送请求将令牌一并发送到服务端
- 服务端通过密钥验证令牌

4.3 服务端生成jwt令牌

 const jwt = require('jsonwebtoken');
  public async index() {
    const { ctx } = this;
    try {
      // 1.校验数据和验证码
      this.validateUserInfo();
      const data = ctx.request.body;
      ctx.helper.verifyImageCode(data.captcha);
      // 2.将校验通过的数据保存到数据库中
      const user = await ctx.service.user.getUser(data);
      delete user.password;
      // ctx.session.user = user;
      // 3.生成JWT令牌
      // 第一个参数: 需要保存的数据
      // 第二个参数: 签名使用的密钥 这里使用this.config.keys
      // 第三个参数: 额外配置 比如expiresIn过期时间
      const token = jwt.sign(user, this.config.keys, { expiresIn: '7 days' });
      user.token = token;
      ctx.success(user);
    } catch (e:any) {
      if (e.errors) {
        ctx.error(400, e.errors);
      } else {
        ctx.error(400, e.message);
      }
    }
  }

4.4 客户端将令牌保存到sessionStorage

 loginUser(this.loginData)
            .then((data:any)=>{
              if(data.code === 200){
                /*
                cookie: 如果存储的内容体积不大
                sessionStorage: 如果不需要持久化存储
                localStorage: 如果体积较大, 又需要持久化存储
                * */
                sessionStorage.setItem('token', data.data.token);
                this.$router.push('/admin');
              }else{
                (this as any).$message.error(data.msg);
              }
            })
            .catch((e)=>{
              (this as any).$message.error(e.message);
            });

4.5 客户端每次发送请求将令牌一并发送到服务端
配置客户端网络文件api/network.ts

// 添加请求拦截器
axios.interceptors.request.use(function (config) {
//客户端每次发送请求将令牌一并发送到服务端
    (config.headers as any).Authorization = sessionStorage.getItem('token');
    // 在发送请求之前做些什么
    return config
}, function (error) {
    // 对请求错误做些什么
    return Promise.reject(error)
})

4.5 服务端通过密钥验证令牌

  public async isLogin() {
    const { ctx } = this;
    const token = ctx.get('Authorization');
    try {
      // 第一个参数: 需要校验的token
      // 第二个参数: 当初加密的密钥
      const user = jwt.verify(token, this.config.keys);
      ctx.success(user);
    } catch (e:any) {
      ctx.error(400, e.message);
    }
  }
YY小怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
egg-jwt, JWT的认证插件.zip
09-17
egg-jwt, JWT的认证插件 jwt JWT ( egg网络令牌认证插件的JSON )重要egg-jwt@3使用 koa-jwt2安装$ npm i egg-jwt --save或者 yarn add egg-jw
egg-jwt使用
无聊猿的博客
03-15 358
安装 npm install egg-jwt --save 配置 // config/config.default.js config.jwt = { secret: 'zidingyi', // 自定义 token 的加密条件字符串 }; // config/plugin.js jwt: { enable: true, package: 'egg-jwt', }, 使用 生成token // login.js const token = ctx.app.j
egg-jwt egg jwt 使用
热门推荐
Yangliwei的博客
01-30 1万+
1,安装egg-jwt npm install egg-jwt --save 2,配置 config/plugin.ts import { EggPlugin } from 'egg'; const plugin: EggPlugin = { jwt: { enable: true, package: "egg-jwt" }, }; export defau...
egg-jwt
weixin_34280237的博客
04-29 1699
1.0 jwt思路 用户输入用户名和密码登录,如果用户名和密码正确的话,使用 jsonwebtoken.sign() 生成 token,并返回给客户端客户端将token存储在本地存储,在每次的 HTTP 请求中,都将 token 添加在 HTTP Header Authorazition: Bearer token 中。 然后后端每次去验证该token的正确与否。只有token正确后才能访问...
eggjs中使用jwt
zyf_baby的博客
09-28 732
eggjs处理jwt, egg-jwt, eggjs处理token
egg-jwt-demo:egg-jwt-demo
04-27
丝氨酸 快速开始 有关更多详细信息,请参见 。 发展 $ npm i $ npm run dev ...部署 $ npm start $ npm stop ...使用npm run lint检查代码样式。... 使用npm run autod自动检测依赖项升级,有关更多详细信息,请参见 。
vue+egg+jwt实现登录验证的示例代码
10-16
主要介绍了vue+egg+jwt实现登录验证的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
socketio-jwt:使用JWT验证socket.io传入连接
03-18
喉咙/ socketio-jwt使用JWT验证socket.io传入连接。 :scroll:关于使用JWT验证socket.io传入连接。与socket.io >= 3.0.0兼容。该存储库最初是从派生的,它不而是从现在开始改进代码。 :floppy_disk:安装npm install -...
egg-jsonwebtoken-demo:在egg使用egg-jwt+ioredis 实现token校验
04-29
jsonwebtoken-demo 快速开始 有关更多详细信息,请参见 。 发展 $ npm i $ npm run dev ...部署 $ npm start $ npm stop ...使用npm run lint检查代码... 使用npm run autod自动检测依赖项升级,有关更多详细信息,请参见 。
gin-jwt:JWT Gin中间件框架
04-28
使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力破解程序。 仅对破解机密较弱的JWT令牌有效。 ...
JWT保存状态
The的博客
06-30 651
登录 1、JWT保持状态 JWT的组成 jwt的设置分为三部分:头部、载荷、以及签证 头部 jwt的头部固定为两个值部分typ和alg,这里的头部数据就是一个json串,两个字段是必须的,不能多也不能少,alg字段指定了签证生成的算法,默认值是HS256,type字段指明类型 { “typ”: “JWT”, “alg”: “HS256” } 载荷 载荷是一个json数据,是表明用户身份的数据,也可自行指定字段很灵活,也有固定字段表示特定含义 如果是自定义的字段,一般是一些用户名,用户id等相关不
Egg.js使用jwt
LizequaNNN的博客
09-24 936
Egg.js配置jwt 一、全局安装jwt jwt不是egg内置的,所以我们先进行全局安装: npm install egg-jwt -S 二、全局引入jwt 在config文件夹里面的plugin.js引入: module.exports = { // 其他引入 ... jwt: { enable: true, package: "egg-jwt" } }; 三、全局配置jwt 在config文件夹里面的config.default.js里面配置: module.ex
状态保持-JWT
lxd_max的博客
11-20 630
在分布式微服务技术流行的今天,大型网站对JWT使用愈加频繁,相比较于传统的session cookie。HTTP何为无状态呢?。那么WEB在哪里会频繁应用它?
eggjs入门系列——使用jwt
weixin_34029949的博客
09-24 1038
写在前面 有关于jwt的相关介绍,请各位自己百度,自行脑补,本文主要介绍在eggjs中如何使用jwt 目前使用最广泛jwt的node库为Json Web Token,仓库地址为:github.com/auth0/node-… 安装 初始化eggjs项目后,进入项目目录下,执行以下命令: npm install jsonwebtoken 复制代码使用 在service目录下,新建token.js文件...
登录 | 生成JWT | 保持状态
weixin_60670275的博客
08-03 190
登录 | 生成JWT | 保持状态
一篇文章教你如何使用egg-jwt生成jwt+校验+错误拦截+设置过期时间
IT飞牛
08-22 3138
egg-jwt是适配eggjwt鉴权插件,在讲这个插件如何使用前,先回顾下jwt的原理。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT
实现登录状态保持的方法:cookie session token jwt
路漫漫其修远兮,吾将上下而求索。
03-12 3494
实现登录状态保持的方法 方法一:cookie和session配合使用 首先,用户登录输入用户名和密码,浏览器发送post请求,服务器后台获取用户信息,查询数据库验证用户信息是否正确。如果验证通过,就会创建session来存储相关信息,并且生成一个cookie字符串,把sessionID放在cookie里面。然后返回给浏览器。 当用户下一次发起请求时,浏览器会自动携带cookie去请求服务器,服务器...
SpringBoot+JWT实现注册、登录状态续签【登录保持】
什么都干的派森
06-01 2286
文章目录一、实现流程简述1.注册2.登录 一、实现流程简述 1.注册 2.登录 Created with Raphaël 2.3.0开始Vue:post 传入 User(username, password)Java:password 非对称加密 RSA(password)查询数据库中是否有此用户 User(username, RSA(password))Java:根据 username 生成 token TOKEN(username)Java:用户权限 TOKEN(username) 存入 redis
egg-jwt过期校验
最新发布
06-10
egg-jwt是一个用于在Egg.js框架中使用JSON Web Token进行身份验证和授权的插件。要进行过期校验,可以在生成JWT时设置一个有效期,然后在验证JWT时检查它是否过期。 在Egg.js的配置文件中,可以设置JWT的过期时间:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值