前后端交互 - JWT鉴权到底是何方神圣

最新推荐文章于 2024-07-10 06:15:00 发布
最新推荐文章于 2024-07-10 06:15:00 发布
阅读量545 收藏 3
点赞数
文章标签: 前后端交互 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinshensx/article/details/105527351
版权

JWT鉴权

JWT全称 JSON Web Token,是一套开放的标准(RFC 7519),它定义了一种紧凑且自URL安全的方式,以JSON对象的方式在各方之间安全地进行信息传输。
使用密钥 ( secret ) ( HMAC算法生成 ) 或者 使用RSA或ECDSA的 公有/私有密钥 对JWT进行签名。

JSON Web Token

一些常用到JWT的情况:

  • 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且支持跨域。
  • 信息交换:JWT是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对)。此外,由于签名是使用Header和Payload计算的,因此还可以验证内容是否遭到篡改。
JWT 数据结构

JWT 以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:

  • Header — base64转码显示的头部信息 (明文)
  • Payload — base64转码显示的签发信息(明文)
  • Signature — hs256加密显示的密码 ( 密文 )
JWT 使用流程

在这里插入图片描述

  • 登录 ---- 成功 ---- 根据密钥生成 token ( 两段明文和一段密文 ) 像门票的存在
  • token ---- 存储; 获取到 token ---- 请求到头部 携带 token ---- 服务端
  • 服务端 ---- 验证通过 ---- 返还数据
  • 服务端 ---- 验证不通过 ---- 返回 401
实际使用案例

登录时验证并签发token,前端保存

  • 前端页面核心代码
	<div class="loginContainer">
		<h1>登录</h1>
		<form action="/checkUser" method="post" onsubmit="return false;" >
			姓名:<input class="inputStyle" type="text" name="username" /><br />
			密码:<input class="inputStyle" type="password" name="pwd" /><br />
			<input class="loginStyle" type="submit" value="登录" />
			<button class="btn">点击 - 认证接口</button>
		</form>
	</div>
	<script>
		// 登录按钮 
		document.querySelector(".loginStyle").onclick = function(){
			let username = document.getElementsByName("username")[0].value;
			let password = document.getElementsByName("pwd")[0].value;
	      
			let xhr = new XMLHttpRequest;
			xhr.open("post","/checkUser",true);
	      
			// 设置头部信息的位置  必须写在 open 下面 
			// post 传参不设置头部的话 服务器拿到的数据就是字符串(不转格式的情况下)
			xhr.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
	      	
	      	// 接收服务器端返回的数据
			xhr.onload = function(){
				console.log(xhr.responseText);
				// 数据类型 --> 对象 --> 获取token
				let token = JSON.parse(xhr.responseText).token;
				// 本地存储 token
				localStorage.setItem("token",token);
	        	// 	后续功能可以写跳转页面
			}
			
			// 将用户的登录信息发送到后端
			let data = `username=${username}&pwd=${password}`;
			xhr.send(data);
		}
	</script>
  • 后端服务器核心代码
    注意token的有效时间设置
    在实际使用中 有效时间越短越安全
	// 直接使用 不需要通过app
	const jwt = require("jsonwebtoken"); // 签发 token
	
	router.post("/checkUser",ctx=>{
	    console.log(ctx.request.body);
	    let {username,pwd} = ctx.request.body; 
	    
	    // 信息对象 用于返还到客户端
	    let info;
	    if (username === "秦兟" && pwd === "123") {
	        // 验证成功,签发token 
	        // 参数1 : { } 信息对象 -- 用户信息,前后端交互
	        // 参数2 : 密钥 -- 后端保存,视情况给前端
	        // 参数3 : { } 时效性 -- 签发之后,时效性内不可修改 时效性越短越好
	        const token = jwt.sign({ 
	            _id:1
	        },"mytoken",{expiresIn:"2h"});
	        
	        info = {
	            message:"正确",
	            status:1,
	            token //让 info携带 token 发给前端
	        }
	    }else{
	        info = {
	            message:"错误",
	            status:0
	        }
	    }
	    ctx.body = info;
	})

需要使用 token 验证的场景

  • 前端核心代码
	<button class="btn">点击 - 认证接口</button>
	
	<script>
		document.querySelector(".btn").onclick =function(){
			let xhr = new XMLHttpRequest();    
			xhr.open("post","/apiCheck",true); 
			// 获取 本地保存的token
			let token = localStorage.getItem("token");
			// 前端的认证
			if (token) {               
		        // Authorization : 告诉浏览器 携带着 token 属性
		        // Bearer空格:固定方式 + token
		        // Bearer 带有空格  注意必须带
				xhr.setRequestHeader("Authorization","Bearer " + token)
			}
			// 接收后端验证token信息的返回值
			xhr.onload = function(){
				// Authentication Error 验证不通过 token错误 
				console.log(xhr.responseText);
			}
			xhr.send();
		}
	</script>
  • 后端服务器核心代码
const koajwt = require("koa-jwt"); // 验证 token
// token 认证的接口 jwt在这里验证
// koajwt() 验证密码
// Authentication Error 验证不通过 token错误 
router.post("/apiCheck",koajwt({secret:"mytoken"}),ctx=>{
    ctx.body = {
        name:"来自验证接口"
    }
})
Mrqin-shen
关注
前后端交互 -- jwt 鉴权
CSDN_GMC的博客
04-15 972
jwt 鉴权一. jwt 鉴权基本概念四个核心点: 1.签发 2.token存取 3.头部携带 4.验证头部二. 签发 生成token2.1. 使用 jsonwebtoken 模块2.2. jwt.sign({ } , " " ,{ } )中的三个参数三. token 的组成、存储与获取3.1. token的组成3.2. 存储token3.3. 获取token四. 请求token头部携带,前端的认...
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
JWT实现前后端交互(SpringBoot+Vue)--代码实现
weixin_45969142的博客
04-23 1323
前言 前面一篇文章就就介绍了JWT的一些简单介绍:https://blog.csdn.net/weixin_45969142/article/details/109892662 1.引入依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version>
【Web前端】JWT(JSON Web Tokens)概述
最新发布
wosixiaokeai的博客
07-10 662
JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。它基于JSON对象,并通过数字签名确保其完整性和真实性。JWT因其小巧、自包含以及易于在客户端和服务器之间传输的特性而被广泛使用于身份验证和信息交换的场景中。
第4讲引入JWT前后端交互
m0_68935893的博客
02-16 882
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC。JWT就是一段字符串,用来进行用户身份认证的凭证,该字符串分成三段【头部、载荷、签证】
前后端交互JWT认证流程
ProvCat的博客
06-13 88
后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编号拼接后签名,形成一个JWT,形成的JWT(Token)就是一个形同111.zzz.xxx的字符串。- 后端将JWT字符串作为登录成功的返回结果返回到前端,前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。- 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都有支持。
一.jwt token 前后端的逻辑
笔生花的博客
03-04 589
jwt token 前后端的交互逻辑,此部分只描述了一些交互逻辑,不涉及到真实应用的开发。
nimbus-jose-jwt-4.41.1-API文档-中文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
nimbus-jose-jwt-3.9-API文档-中文版.zip
04-23
赠送jar包:nimbus-jose-jwt-3.9.jar; 赠送原API文档:nimbus-jose-jwt-3.9-javadoc.jar; 赠送源代码:nimbus-jose-jwt-3.9-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-3.9.pom; 包含翻译后的API文档...
JWT登录鉴权—通用登录模块后端开发.zip
11-22
执行上下文是一个抽象的概念,可以理解为是代码执行的一个环境。JS 的执行上下文分为三种,全局执 行上下文、函数(局部)执行上下文、Eval 执行上下文。 全局执行上下文:全局执行上下文指的是全局 this 指向的 window ,可以是外部加载的 JS 文件 或者本地 标签中的代码。 函数执行上下文:函数上下文也称为局部上下文,每个函数被调用的时候,都会创建一个新的局部 上下文。 Eval 执行上下文: 这个不经常用,所以不多讨论
JWT(json-web-token)技术来前后端鉴权
kobezzZ的博客
09-08 471
1、每次请求都需要携带token字段,可以进行路由等权限的验证 2、前后端验证健全。如果没有携带token去后台,后台会认为没有权限,直接抛出错误 3、发起一次登录请求,如果登录验证通过,后台返回数据会包括token字段,本地存储token字段,然后拿着token字段去后台请求对应的用户权限 4、客户端收到服务器返回的JWT字段,可以存储在cookie里面,也可以存储在localStorage里...
(转)前后端交互如何保证数据安全
jackyrongvip的专栏
12-12 2118
前言 web与后端,andorid与后端,ios与后端,像这种类型的交互其实就属于典型的前端与后端进行交互。在与B端用户进行交互的过程中,我们通常忽略了其安全性(甚至从未考虑安全性)。比如,请求和响应数据的明文传输,对接口并没有严格的身份校验。如果我们还是按照这种思路去C端用户的交互,那么等待着必将是血淋淋的教训。接下来,我带领大家如何在与C端用户安全的进行交互。 保证安全性的几...
【前端笔记】JWT鉴权逻辑:
Bole6666666的博客
09-21 212
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT通常用于前后端分离的应用程序中,用于验证用户身份和授权访问
JWT基础介绍
Alan0517
03-13 2414
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
Spring Boot 鉴权之—— JWT 鉴权
weixin_34208283的博客
09-10 384
第一:什么是JWT鉴权 1. JWT即JSON Web Tokens,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),他可以用来安全的传递信息,因为传递的信息是经过加密算法加密过得。 2.JWT常用的加密算法有:HMAC算法或者是RSA的公私秘钥对进行签名,也可以使用公钥/私钥的非对称算法 3.JWT的使用场景...
JWT鉴权
liu4461431的博客
05-25 4477
JWT鉴权知识点总结
前后端常用鉴权方式详解:从Basic到OAuth
本文档主要概述了前后端开发中常见的四种鉴权方式,包括HTTPBasicAuthentication、session-cookie、Token验证以及OAuth(开放授权)。作者分享了自己重构项目时的经验,着重介绍了HTTPBasicAuthentication的原理和过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值