JSON网络令牌JWT

置顶 已于 2024-01-03 10:51:43 修改
阅读量1.2k 收藏 19
点赞数 29
分类专栏: 大前端 文章标签: 网络 json 服务器
于 2024-01-03 10:50:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lin85253788/article/details/135357893
版权

1.什么是身份验证

日常生活中的身份验证的场景: 比如进入公司的大楼时,需要携带工牌;打卡上班时,需要指纹识别;打开工作电脑时,需要输入密码。

2. 什么是 JSON 网络令牌?

JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),用于在各方之间作为 JSON 对象安全地传输信息。就是通过用户名和密码来生成token确认用户的身份,确认过身份的用户称为为授权用户(Authenticated user)

全称 JSON Web Token, 是目前最流行的跨域认证解决方案。基本的实现是服务端认证后,生成一个 JSON 对象,发回给用户。用户与服务端通信的时候,都要在请求头带上这个 JSON 对象

3. JSON 网络令牌的作用

  • 授权:这是使用 JWT 最常见的场景。用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。

4. JSON Web Token 结构

在其紧凑形式中,JSON Web Tokens 由用点 ( .)分隔的三个部分组成,它们是:

  • 标题

{"alg":"HS256","typ":"JWT"}

  • 有效载荷

{"username":"letao","password":"123456","iat":1634524068,"exp":1634527668}

  • 签名

因此,JWT 通常如下所示。

xxxxx.yyyyy.zzzzz

JWT格式:

5.JSON 网络令牌如何工作?

在身份验证中,当用户使用其凭据成功登录时,将返回 JSON Web Token。由于令牌是凭证,因此必须非常小心以防止出现安全问题。通常,您不应将令牌保留的时间超过所需的时间。

每当用户想要访问受保护的路由或资源时,用户代理应该发送 JWT,通常在使用Bearer模式的Authorization标头中。标题的内容应如下所示:

 Authorization: Bearer <token>

 

5.代码实现

 文档地址: jsonwebtoken - npm

  1. 安装jsonwebtoken

yarn add jsonwebtoken

    2.controller目录user.js  

登录成功之后使用jsonwebtoken根据用户名和密码生成token返回

const userModel = require('../model/user');
const { validator, cryptoPwd } = require('../utils/utils');
const { config:{encrypStr , secret} } = require('../config/config');
const jwt = require('jsonwebtoken');

// 用户登录
module.exports.login = async (ctx) => {
    // 1. 获取登录信息
    const { username, password } = ctx.request.body;
    let msg = validator.checkUserName(username) || validator.checkPassword(password)
    if (msg) {
        ctx.body = {
            msg,
            status: 1010
        }
    }
    // 2. 登录
    const result = await userModel.login(username, cryptoPwd(password + encrypStr));


    const token =  await jwt.sign({
        username,
        password
    }, secret, { expiresIn: 36 * 60 * 60 }); // 
    if (result[0]) {
        ctx.body = {
            status: 200,
            token,
            msg: '登录成功'
        }
    } else {
        ctx.body = {
            status: 1040,
            msg: '登录失败'
        };
    }

}

3.验证JSON Web 令牌的 Koa 中间件

文档地址:koa-jwt - npm

 4.安装koa-jwt

yarn add koa-jwt

5.app.js  

const Koa = require('koa') // 引入KOA
const app = new Koa() // 创建KOA应用实例
const views = require('koa-views') // 处理动态模板
const json = require('koa-json')  // 格式化输出的json
const onerror = require('koa-onerror') // 捕获异常
const bodyparser = require('koa-bodyparser') // 处理post请求
const logger = require('koa-logger') // 日志记录
const dotenv = require('dotenv');
var xmlParser = require('koa-xml-body');
var jwt = require('koa-jwt');
const {config:{secret}} = require('./config/config');

// 启动Node env环境
dotenv.config();

// 加载路由
const order = require('./routes/order')
const user = require('./routes/user')

// error handler  错误处理
onerror(app)

app.use(xmlParser());

// middlewares  使用中间件
app.use(function(ctx, next){
  return next().catch((err) => {
    if (401 == err.status) {
      ctx.status = 401;
      ctx.body = 'Protected resource, use Authorization header to get access\n';
    } else {
      throw err;
    }
  });
});
app.use(jwt({ secret }).unless({ path: [/^\/public/, /^\/login/]}))
app.use(bodyparser({
  enableTypes: ['json', 'form', 'text']
}))
app.use(json())
app.use(logger())
app.use(require('koa-static')(__dirname + '/public'))

// 动态文件模板处理
app.use(views(__dirname + '/views', {
  extension: 'pug'
}))

// logger 日志输出
app.use(async (ctx, next) => {
  const start = new Date()
  await next()
  const ms = new Date() - start
  console.log(`${ctx.method} ${ctx.url} - ${ms}ms`)
})

// routes 注册路由
app.use(order.routes(), order.allowedMethods())
app.use(user.routes(), user.allowedMethods())

// error-handling  错误处理
app.on('error', (err, ctx) => {
  console.error('server error', err, ctx)
});

module.exports = app

6.参考资料:

  1. koa-jwt: koa-jwt - npm

  2. mysql:mysql - npm

  3. crypto加密: Crypto | Node.js v14.21.3 Documentation

  4. koa: Koa (koajs) -- 基于 Node.js 平台的下一代 web 开发框架 | Koajs 中文文档

  5. jwt: JSON Web Token Introduction - jwt.io

  6. jsonwebtoken: jsonwebtoken - npm

安生生申
关注
  • 29
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api-jwt:JSON 网络令牌中间件
07-20
api-jwt JSON 网络令牌中间件。 为 API 端点创建和验证 JWT。 基本用法 var tokens = require ( 'api-jwt' ) ( { /** * Keep it secret, keep it safe * * @required * @type {String} */ secret : 'this one time at band camp...' , /** * How long in seconds until the token expires * * @type {Number} */ ttl : 3600 , // Default /** * Default header to look
Jwt:JSON 网络令牌
05-29
jwt JSON 网络令牌 要求 JDK 1.8x Maven 3.x JwtObject 用于 JwtClient & JwtServer 事务的模型 客户端 生成令牌的库 JwtServer 用于验证令牌的库。 以下是将被验证的部分: 令牌格式(signingInput >> <header>.<claim> ) 签名 查询字符串 (qsh) (可选)索赔的发行人(iss) 令牌过期 模拟器 客户端模拟器 使用 POST 方法创建令牌并将其发送到服务器 网络服务器模拟器 验证传入的令牌并发送输出(成功/失败/欺诈) 维基
discourse-jwt:JSON Web令牌JWT)的Discourse Auth支持
05-10
话语权 一个通过JSON Web令牌JWT)启用身份验证的Discourse插件。 首先,请考虑使用Discourse的或插件。 这些身份验证标准更加成熟,并且包含更多的安全功能。 配置 该插件提供了三个用于配置的站点设置。 您必须在管理面板中提供所有三个功能,身份验证才能正常工作: jwt_enabled jwt_secret jwt_auth_url 或者,您可以通过环境变量为这些设置提供值。 在env部分中,将以下设置添加到您的app.yml文件中: DISCOURSE_JWT_SECRET DISCOURSE_JWT_AUTH_URL 执照 麻省理工学院
php-jwt:PHP JSON 网络令牌 (JWT) 库
06-13
PHP JSON 网络令牌 (JWT) 库 基于JSON Web Token (JWT) 实现。 安装 安装 gamegos/jws 的推荐方法是通过 。 { " require " : { " gamegos/jwt " : " ~0.1 " } } 基本用法 编码 $ key = 'some-secret-for-hmac' ; $ alg = 'HS256' ; $ token = new \ Gamegos \ JWT \ Token (); $ token -> setClaim ( 'sub' , '[email protected]' ); // alternatively you can use $token->setSubject('[email protected]') method $ token -> setClaim (
DBWebSignatureAndroid:适用于 Android 的 JSON 网络令牌 (JWT) JSON 网络签名 (JWS) 实现
06-25
JSON 网络令牌 (JWT) / JSON 网络签名 (JWS) 适用于 Android 的 JWT/JWS。 为 JSON 对象创建和验证签名。 安装 将dbwebsignature文件夹添加到您的项目中。 用法 生成令牌 JSONObject objectToSign = ... // Can also be JSONArray or String DBWebSignature signer = new DBWebSignature ( " mutually-derived-or-agreed-secret " , new JWTAlgorithmHS512 ()); String token = signer . getToken(objectToSign); 验证令牌 String tokenToVerify = " jbd6567asbsdahjbskg32y78 " ;
JSON Web令牌(JWT)详解
weixin_56069070的博客
11-18 1126
前言 今天要分享的知识是JWT 码字不易,转载请说明!!! 目录 一、JWT出现的原因及工作原理 JWT是什么 为什么使用JWT JWT的工作原理 JWT组成 传统开发对资源的访问限制利用session完成图解 ​JWT所解决的问题及机制 JWT解决不需要登录就能直接访问的问题 web.xml:解决JWT问题的过滤器 JwtFilter.java:开启jwt令牌验证功能 UserAction .java:将jwt令牌塞入响应头 未登录就不能显示内容 并且报出4...
JSON Web 令牌JWT)攻击
weixin_42451330的博客
07-30 711
1.1 生成密钥:首先,需要生成一个密钥(secret key),这个密钥只有发送方和接收方知道。1.2 签名:在JWT中,要对头部和有效载荷进行签名,首先将头部和有效载荷进行Base64编码,得到两个字符串,分别记为header_base64和payload_base64。
JWT(JSON Web Token)
bjjx123456的博客
05-04 245
JWT的作用类似于cokkie,但1.不仅可以存储与cookie域也可以存储与本地存储空间。使用于没有cookie的后端开发,2.防止CSRF攻击,为什么呢?现在还不太懂,猜测应该是token本身与时间绑定,故可以每次请求都生成一次(猜测), 3.另外,只要修改一部分,整个字符就无法解析,防止篡改。第一部分为Header,主要记录令牌类型,签名算法等,第二部分是有效载荷,主要携带一些自定义,默认信息等。最后一个为通过签名算法形成的密匙。简单来讲,jwt是将一个字符串,分为三部分,中间用英文的.分割。
什么是 JSON Web 令牌 (JWT)?为什么 API 使用它们?
学海无涯苦作舟的博客
09-05 348
JSON Web Tokens (JWT) 标准描述了一种用于可验证数据传输的紧凑方法。每个令牌都包含一个签名,允许发布方检查消息的完整性。在本文中,您将了解 JWT 结构包含的内容以及如何生成自己的令牌JWT 是一种保护 API 和验证用户会话的流行方法,因为它们简单且独立。
登录令牌JWTJSON WEB TOKEN
Java厂长
01-20 2081
登录令牌JWTJSON WEB TOKEN 关于作者 作者介绍 ???? 博客主页:作者主页 ???? 简介:JAVA领域优质创作者????、一名在校大三学生????、在校期间参加各种省赛、国赛,斩获一系列荣誉???? ???? 关注我:关注我学习资料、文档下载统统都有,每日定时更新文章,励志做一名JAVA资深程序猿????‍???? JWT简介 1、概述 传统的Web应用中,使用session来存在用户的信息,每次用户认证通过以后,服务器需要创建一条记录 保存用户信息,通常是在内存中。
jwtJSON Web 令牌
weixin_49302930的博客
08-03 84
JWTJSON Web Token)是一种用于在网络应用之间传递信息的开放标准(RFC 7519)。它是一种轻量级的、自包含的令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。需要注意的是,由于JWT是基于令牌的认证机制,在使用时需要注意保护令牌的安全性,避免被不信任的第三方获取或篡改。其中,每个部分由点号(.)分隔开来。
JSON Web令牌(JWT)的原理,流程和数据结构
CoffeMilk的博客
06-27 542
1. 摘要 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理,用法和详细的数据结构。 2. JWT的定义 Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必...
jsonjwt_JSON Web令牌JWT)解释
cuk0051的博客
08-29 569
jsonjwtJSON Web Token is a standard used to create access tokens for an application. JSON Web令牌是用于为应用程序创建访问令牌的标准。 It works this way: the server generates a token that certifies the user identity, ...
JWT
weixin_44557427的博客
09-08 324
一、 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": ...
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 522
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 537
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
万兆以太网MAC设计(11)完整UDP协议栈仿真
m0_56222647的博客
04-28 1541
目前除了巨帧处理逻辑之外,所有的准备工作都已经结束了,先进行整体的功能验证。
IoTDB 入门教程 基础篇③——基于Linux系统快速安装启动和上手
最新发布
小康师兄
05-01 643
IoTDB 入门教程③——基于Linux系统快速安装启动和上手
OAuth和jwt令牌
04-24
OAuth(开放授权)是一种用于授权访问第三方应用程序的放标准。它允许用户通过授权服务器授权第三方应用程序访问其受保护的资源,而无需将其凭据直接提供给第三方应用程序。OAuth的工作流程通常涉及三个主要角色:资源所有者(用户)、客户端应用程序(第三方应用程序)和授权服务器JWTJSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。JWT通常用作身份验证和授权的令牌。它由三个部分组成:头部、载荷和签名。头部包含描述令牌类型和签名算法的元数据,载荷包含有关主题(用户)和其他声明的信息,签名用于验证令牌的完整性。 OAuth和JWT令牌在身份验证和授权方面有所不同。OAuth主要用于授权访问第三方应用程序,而JWT令牌则用于在各方之间传输信息并进行身份验证。OAuth通过授权服务器颁发访问令牌,而JWT令牌则是由发行者签名并可被验证的令牌

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值