JWT简单应用

最新推荐文章于 2024-07-26 11:00:00 发布
最新推荐文章于 2024-07-26 11:00:00 发布
阅读量261 收藏
点赞数
分类专栏: nodejs 文章标签: JWT koa-jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33203555/article/details/81879508
版权

简介

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

使用场景

授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。Single Sign On是一种现在广泛使用JWT的功能,因为它的开销很小,并且能够在不同的域中轻松使用。
信息交换:JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以签名 - 例如,使用公钥/私钥对 - 您可以确定发件人是他们所说的人。此外,由于使用标头和有效负载计算签名,您还可以验证内容是否未被篡改。

组成结构

JSON Web令牌由三个部分组成(由点(.)分隔,它们是:

  • 有效载荷
  • 签名

因此,JWT通常如下所示。
xxxxx.yyyyy.zzzzz

标头通常由两部分组成:令牌的类型,即JWT,以及正在使用的散列算法,例如HMAC SHA256或RSA。

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,这个JSON被编码为Base64Url,形成JWT的第一部分。
有效载荷

{
  "name": "大明",
  "_id": "123",
  "iat": 1534774285, //JWT生成时间
  "exp": 1534777885 //过期时间
}

然后,有效负载经过Base64Url编码,形成JSON Web令牌的第二部分。
签名
要创建签名部分,您必须采用编码标头,编码的有效负载,秘密,标头中指定的算法,并对其进行签名。

例如,如果要使用HMAC SHA256算法,将按以下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

在koa中使用JWT

npm install jsonwebtoken --save-dev //生成JWT
npm install koa-jwt --save-dev //验证JWT

在controller中

//userController.js
const jwt = require("jsonwebtoken");
const cert = require("../../config/config").cert; //秘钥

exports.login = async (ctx, next) => {
  return (ctx.body = {
    token: jwt.sign(
      {
        name: "大明",
        _id: "123"
      },//这里的数据可以是我们登录成功返回的一些用户数据
      cert,
      { expiresIn: 60 * 60 } //时间间隔
    )
  });
};

这样用户通过登录就可以接收到服务器返回的token
客户端请求受保护的服务器资源时需要携带token否则不允许访问。

//app.js
const koajwt = require("koa-jwt");
// 错误处理
app.use((ctx, next) => {
  return next().catch(err => {
    if (err.status === 401) {
      ctx.status = 401;
      ctx.body = "Protected resource, use Authorization header to get access\n";
    } else {
      throw err;
    }
  });
});
//校验登录
app.use(
  koajwt({
    secret: cert //秘钥
  }).unless({
    path: [/\/users\/login/]
  }) //unless表示不校验token的url
);

通过 app.use 来调用该中间件,并传入密钥 {secret: ‘my_token’},unless 可以指定哪些 URL 不需要进行 token 验证。token 验证失败的时候会抛出401错误,因此需要添加错误处理,而且要放在 app.use(koajwt()) 之前,否则不执行。

客户端请求需要在header中携带如下请求头

authorization:Bearer token //token为服务器返回的token

更多详情请参考JWT官方网站

qq_33203555
关注
专栏目录
JWT应用
qq_63492318的博客
09-16 782
JWT的全称:JSON Web Token,它是目前最流行的跨域身份验证的解决方案。
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT简单应用
qinshaoyuan的博客
01-16 287
JWT简单应用jwt简介落地场景简单实例 jwt简介 jwt即json-web-token。目前比较流行的跨域身份校验方案。算是比较轻量级的解决方案。 jwt以"."为分隔符分为三个部分。第1部分:header 包含加密类型,消息类型等。payload(载荷):包含发布人,有效期,签发人等信息。第3部分VERIFY SIGNATURE,把将前两部分进行base64Url编码,然后加上用指定秘钥指...
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
最新发布
A_991128a的博客
07-26 1197
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在Web 应用程序和服务之间尤其流行用于身份验证和信息交换。JWT 本身包含了所有必要的信息。一个 JWT 通常包含用户身份验证信息、token 的发行者、过期时间等。由于其较小的体积,JWT 可以通过 URL、POST 参数或在 HTTP 头中发送,这使得其在网络环境中传输非常高效。
Jwt在Java项目中的简单实际应用
wangjia55的专栏
04-02 1007
转自:https://www.cnblogs.com/jimisun/p/9482439.htm 1.什么是jwt 双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数...
jwt简单使用
不懂一休
07-02 1万+
文章目录1、简介2、使用场景3、jwt 优势4、JSON Web Token 结构①、HEADER②、PAYLOAD③、SIGNATURE5、测试 JWT①、导包②、运行6、总结 官网 1、简介 JSON Web Token(JWT)是一个基于 RFC 7519 的开放数据标准,它定义了一种宽松且紧凑的数据组合方式,使用 JSON 对象在各应用之间传输信息(信息加密即 jwe,签名即 jws)。 2、使用场景 授权: 简单说就是生成 token (使用较多) 这是使用 JWT 最常见的场景。用户登录后
JWT 应用
wyy的博客
04-10 1088
文章目录JWT工具模块Token认证微服务JWT授权监测网关认证过滤消费端获取JWT JWT工具模块 如果要想在项目之中去使用JWT技术,那么就必须结合到已有的模块之中,最佳的做法就是将JWT的相关的处理 操作做为一个自动的starter组件进行接入 1、【microcloud项目】既然要开发一个starter组件,最佳的做法就是开发一个新的模块,模块名称:“yootk-starter.jwt ” 2、【microcloud 项目】需要为“yootk-starter-jwt”模块配置所需要的依赖库,这些依赖
jwt简单React应用程序:带jwt简单React应用程序
02-11
标题中的“带jwt简单React应用程序”指的是一个使用JWT(JSON Web Token)身份验证机制的React前端应用JWT是一种安全的、轻量级的身份验证方式,广泛用于Web应用点登录(SSO)和API认证。React是Facebook...
jwt简单的介绍和了解
10-27
JWT主要应用于身份验证以及授权,允许在不通过服务器会话的情况下在不同的系统或服务之间传递用户身份信息。 ### JWT的基本结构 JWT由三个部分组成,通过`.`分隔: 1. **头部(Header)**:通常是一个JSON对象,...
mern-minin:具有JWT授权的MERN堆栈简单应用
03-10
这个名为“mern-minin”的项目是一个使用MERN堆栈构建的简单应用,它集成了JWT授权功能。项目的源代码位于“mern-minin-master”压缩包中。项目可能包括以下关键文件和目录: - `server`:Node.js服务器端代码,...
CatoProject:Cato项目。一个简单jwt身份验证应用程序
03-19
Cato项目是一个基于C#开发的简单JWT(JSON Web Token)身份验证应用程序,它展示了如何在Web应用中实现安全的身份验证机制。JWT是一种轻量级的、标准的、用于安全地在各方之间传递信息的方式,通常用于身份验证和...
jwt应用
wmh510628的博客
08-21 149
什么是jwt Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准特别适用于分布式站点的点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。 JWT的构成 第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature). 基于token的认证和传统的session认证的区别 这种基于session的
JWT的介绍与应用
CONSOLE11的博客
12-30 3608
目录 2.JWT应用场景 3.JWT应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
JWT简单使用
qq_51133939的博客
08-15 214
JWT简单使用
JWT简单使用
weixin_44281208的博客
10-08 229
首先我们要知道什么是jwt? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的, 用处: 比如我们可以将它用来授权,我们登陆用户后,我们将我们的用户名密码都存入jwt中,我们得到该jwt,后续我们需要时,可以传入jwt,当我们需要该数据时,我们可以解析该jwt,将我们需要的数据全部解析出来,而且jwt的数据量很小,传输速度十分的快。 JWT的结构 1、标头(H
JWT简单使用-HelloWorld!
铁蛋的博客
03-11 860
配置2个接口,一个获取Token(不拦截)。一个验证Token(拦截) 第一步 引入pom.xml依赖 <!--JWT(Json Web Token)登录支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </depe
JWT简单介绍与使用
weixin_51980047的博客
07-27 2228
JWT简单介绍与使用
springboot应用jwt的例子
05-25
以下是一个简单的使用Spring Boot和JWT的示例: 首先,添加以下依赖项到你的pom.xml文件中: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 接下来,配置JWT的一些属性,例如密钥,过期时间等: ```java @Configuration public class JwtConfig { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private int expiration; public String getSecret() { return secret; } public void setSecret(String secret) { this.secret = secret; } public int getExpiration() { return expiration; } public void setExpiration(int expiration) { this.expiration = expiration; } } ``` 创建一个过滤器来处理JWT: ```java public class JwtTokenFilter extends OncePerRequestFilter { @Autowired private JwtConfig jwtConfig; @Override protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException { try { String jwt = parseJwt(httpServletRequest); if (jwt != null && validateJwtToken(jwt)) { Authentication authentication = getAuthentication(jwt); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception e) { logger.error("Cannot set user authentication: {}", e); } filterChain.doFilter(httpServletRequest, httpServletResponse); } private String parseJwt(HttpServletRequest request) { String headerAuth = request.getHeader("Authorization"); if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) { return headerAuth.substring(7, headerAuth.length()); } return null; } private boolean validateJwtToken(String jwt) { try { Jwts.parser().setSigningKey(jwtConfig.getSecret()).parseClaimsJws(jwt); return true; } catch (SignatureException e) { logger.error("Invalid JWT signature: {}", e.getMessage()); } catch (MalformedJwtException e) { logger.error("Invalid JWT token: {}", e.getMessage()); } catch (ExpiredJwtException e) { logger.error("JWT token is expired: {}", e.getMessage()); } catch (UnsupportedJwtException e) { logger.error("JWT token is unsupported: {}", e.getMessage()); } catch (IllegalArgumentException e) { logger.error("JWT claims string is empty: {}", e.getMessage()); } return false; } private Authentication getAuthentication(String jwt) { Claims claims = Jwts.parser() .setSigningKey(jwtConfig.getSecret()) .parseClaimsJws(jwt) .getBody(); String username = claims.getSubject(); List<String> roles = (List<String>) claims.get("roles"); List<GrantedAuthority> authorities = roles.stream() .map(SimpleGrantedAuthority::new) .collect(Collectors.toList()); return new UsernamePasswordAuthenticationToken(username, null, authorities); } } ``` 接下来,创建一个JWT生成器: ```java @Service public class JwtUtils { @Autowired private JwtConfig jwtConfig; public String generateJwtToken(Authentication authentication) { UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal(); return Jwts.builder() .setSubject((userPrincipal.getUsername())) .setIssuedAt(new Date()) .setExpiration(new Date((new Date()).getTime() + jwtConfig.getExpiration() * 1000)) .signWith(SignatureAlgorithm.HS512, jwtConfig.getSecret()) .compact(); } } ``` 最后,将JWT过滤器添加到Spring Security配置中: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenFilter jwtTokenFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 这样,你就可以在你的Spring Boot应用中使用JWT进行身份验证了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值