jwt实现注册与登陆系统

最新推荐文章于 2024-06-02 22:57:30 发布
最新推荐文章于 2024-06-02 22:57:30 发布
阅读量5.2k 收藏 21
点赞数 6
分类专栏: javascript react 文章标签: jwt 登陆与注册功能 koa-jwt jsonwebtoken
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37860930/article/details/96145590
版权
前言

自己用react+koa实现了一个包含登陆和注册功能的网址,在这里记录一下实现过程
项目地址:github地址
预览地址:预览地址

注册

注册其实没什么好说的,就是要注意不要明文保存密码,否则数据库泄露后,密码会被其他人用来撞库使用。
前台加密主要是为了防止post请求明文传递密码,本来我想在前端加密,然后数据库直接保存加密的密码到数据库,登陆时传递加密后的密码进行登陆,但是前端使用的加密工具加密同一个密码每次都生成不同的结果,导致每次查询都是密码不正确,我只能在后端先解密前端密码,然后换用了一个加密工具,加密同一个密码生成相同的结果,这样查询密码才会正确。



登陆

传统的登录系统是通过cookiesession做的登录,这种登录需要后端记录session,当在线用户很多时,会增加服务器压力,这里我使用JSON Web Token (JWT)更好的方式来做登录(后端不需要记录任何东西)。关于cookie、session、token的概念我简单的总结过,具体可以参考这里

简述登录流程:

  1. 用户使用账号密码登录
  2. 后台验证账号密码是否正确,正确则生成token并发送给前台。
  3. 前台存储token并在下次访问传递给后台
  4. 后台验证前台传过来的token是否正确,不正确则返回错误给前台,让他重新登录

实际上我们需要解决以下问题就可以实现一个登陆:

  1. 后台如何生成token?
  2. 前台如何保存token,并传递给后台?
  3. 既然后台不保存任何信息,后台如何验证token?如何知道token不是伪造的

举个简单的例子:
我有个箱子要送出去,我自己不记录我送了哪些箱子,别人送回来的时候我怎么知道这是我的箱子?
很简单,我给箱子上把锁,别人还回来的时候,我用我自己的钥匙打开,能打开就是我的箱子,否则就不是。
生成token时,我们可以将用户名通过某种加密算法加密生成一个串字符串,解密时再用加密算法还原,如果可以还原就证明这个token有效,否则无效。

jsonwebtoken

我自己使用jsonwebtoken来生成和解析token,下面是一个简单的使用

const jwt = require('jsonwebtoken');

const secert = 'secert_key'                   //相当于钥匙,这个钥匙不要让其他人知道,否则别人会拿这个生成有效token

//加密,根据secert加密生成token
const token = jwt.sign({username:'zzh'},secert)   
console.log('token',token)

//解密,如果token正确会还原,否则会抛出错误
try {
    const result = jwt.verify(token,secert)     
    console.log(result)
} catch (error) {
    console.log(error)
}

上面就是一个加密和解密的过程,这就实现token的验证。我们在登录正确时,将用户名或id用上面的方法加密生成token,并返回给前台,前台用某种方式存储(SessionStorage、LocalStorage),然后前端可以放在请求头中传递给后台,后台再验证token是否正确。

koa-jwt

直接使用上面的jsonwebtoken太麻烦了,我们需要自己对接口进行token验证和验证失败的处理。可以使用koa-jwt中间件来帮我们完成这些功能,我只需要会用即可。

//app.js
...
var jwt = require('koa-jwt');

app.use(jwt({ secret: 'secert_key' }).unless({ path: [/^\/public/] }));

当我们使用koa-jwt中间件后,app会自动去验证token,当token不存在或token失效时,会抛出401错误。另外我们要注意几点:

  • 生成token时还是用的jsonwebtoken进行加密的(koa-jwt自带jsonwebtoken依赖)
  • 加密和解密的secret必须一样(不要泄露)
  • koa-jwt默认是从请求头的Authorization中寻找token,如果需要以其他方式传递token则自行根据官网设置。Authorization:'Bearer ’ + token
  • 要设置不需要验证token的接口,比如登陆接口是不需要验证token的(通过unless设置)

关于koa-jwt的使用可以看github文档或这个demo

下面几个问题可以思考
token存在前端什么位置合适?
可以存在SessionStorage、LocalStorage、cookie中。

前端根据什么判断是否登录?
当登陆成功时存储token到cookie中,然后判断cookie中是否有token

如何防止token被盗,然后绕过登陆的问题?
这样有个问题,我可以通过浏览器的调试工具拿到token,然后在其他地方不登录,在浏览器的调试工具手动设置token到cookie或storage中去,这样就绕过了登录。这其实是jwt的一个弊端,只要是一个正确的token,服务器都认为是有效的。解决的方法可以用https或者将token有效时间缩短。

cookie的httpOnly只能防止前端读取cookie,但是不能限制前端设置cookie

如何在退出登录时使token失效?
可以将用过的token加入黑名单,这样不管是退出登录还是窃取别人的token使用都不会登录成功

如何防止同个账号同时登录?

zzh1918
关注
  • 6
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot+Vue集成JWT实现完善的登录注册功能
无所谓^_^博客
03-27 2842
SpringBoot+Vue集成JWT实现完善的登录注册功能。如果没有登录,访问不到页面,也请求不了后端的接口
java与第三方对接,JWT实现单点登录
qq_44948905的博客
02-10 1008
【代码】java与第三方对接,实现单点登录。
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
BASK2312的博客
05-11 1857
到此我们已经完成了用户的注册和登录功能。但还有一个问题就是用户鉴权,我们在调用其他接口时如何判断用户是否已登录。完成用户注册与登录有个核心点就是密码的加密与验证,我们目前比较常用的方案是。与数据库查出的用户进行密码比较判断是否验证通过。生成存到数据库里,这里我们采用第二种安全性更高的方式。的逻辑删除及自动填充功能,不太清楚的可以看看我的文章。的所有接口做登录验证,这个大家根据自己项目需求调整。为忽略前端的传值,这里使用我们。,然后入库,用户登录时,根据。查出用户,再把用户传入的。里面,这里需要引入下。
SpringBoot整合OAuth2和Jwt实现第三方登录
weixin_43873712的博客
06-24 2053
SpringBoot整合OAuth2和Jwt实现第三方登录 一、OAuth2的使用场景 现代微服务中系统微服务化以及应用的形态和设备类型增多,不能用传统的登录方式 核心的技术不是用户名和密码,而是token,由AuthServer颁发token,用户使用token进行登录 二、OAuth详解 2.1 什么是OAuth 2.2 OAuth的优势 2.3 OAuth术语 2.4 OAuth2令牌的类型 三、和SpringBoot整合 3.1 准备工作 首先注册微信开放平台账号 微信开放平台 邮箱
jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-02 935
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
使用token+MD5+JWT实现登录注册
m0_55746729的博客
07-01 1932
使用token+MD5+JWT实现登录注册
一个注册登陆系统实现
Paul_roux
04-18 1472
一、前言   这是一个简单的初学前端的测试项目。源代码(代码中php属于网上的教程,css、js借鉴了网上的教程):https://github.com/McXing/User_reg.git 二、实现的思想及原理   1、用到的知识:HTML(掌握)、css(了解)、js(了解)、PHP(没有学习,功能无法具体实现)、SQL(数据库目前没有学习,此功能实现)      2、思想:利用html
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web TokenJWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
koa+jwt实现token验证与刷新功能
10-16
这段代码设置了JWT验证,除了登录和注册接口,所有请求都需要一个有效的JWT。 ### 生成和验证JWT 使用`jsonwebtoken`库可以轻松生成和验证JWT: ```javascript import * as jwt from 'jsonwebtoken'; const ...
JWT实现单点登录解决方案demo
04-03
在这个“JWT实现单点登录解决方案demo”中,我们主要探讨如何使用JWT来创建一个SSO系统JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和算法(如HS256或...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring Boot、Spring Security和JWT实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
教学评价及分析系统的设计与实现
05-15
1. 用户管理:包括用户注册、登录、权限分配,确保数据安全与隐私。 2. 评价管理:支持创建、编辑、删除评价指标,设置评价权重,支持多轮评价。 3. 数据导入导出:方便导入各类教学数据,支持导出分析结果,便于...
JWT认证及登录功能实现,退出登录
qishaoawei的博客
05-25 1532
初识jwt认证,登录,退出登录前后端功能实现
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
SpringBoot+SpringSecurity+jwt+uniapp实现微信小程序登录
qq_61273171的博客
03-30 1189
2)后端接收code并向微信登录凭证校验接口发起请求,携带相应参数。进入微信小程序后,点击登录,后台签发Access Token,之后每次请求都携带这个token,并且进行权限认证。· 在业务逻辑代码中发送POST请求获取微信登录凭证信息获取openId、sessionKey等信息。后端在拿到openid和sessionid之后,将其与小程序前端传递过来的用户数据一起保存到数据库。在小程序前端,调用wx.login()方法获取用户登录凭证code,并将其发送到后台服务器。1)调用登录API获取code。
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9639
基于JWT实现简单的用户登陆验证
基于jwt的登录/注册功能实现
small_MQ的博客
03-15 550
# views.py # 登录视图 class LoginView(ViewSet): # 登录 @action(methods=['POST'], detail=False) def login(self, request, *args, **kwargs): ser_obj = ser.UserModelSerializer(data=request.data) if ser_obj.is_valid(): token =
SpringBoot整合Spring Security+JWT实现用户注册登录
qq_40126996的博客
08-02 5442
最近在做一个自己的项目,前后端分离的项目,于是整合了一下Spring Security和JWT实现后端系统的用户登录,自己以前没有使用过Spring Security所以这次踩坑之后记录下来。 该文较长,请耐心阅读,需要整合这部分的可以给到你一些帮助。 一、整合JWT 1.1 pom包 <!-- jwt依赖 --> <dependency> <groupId>io.jsonwebtoken</gro.
JWT和Oauth认证登录
XY3028的博客
08-27 603
一:JWT 1.JWT : Json web token,是一款轻量级的用于通信双方信息传递的载体。 官方给出的定义是:基于JSON、在网络间进行通信的令牌。 2.主要有头部,载荷和签名三部分组成。 其中: 头部:存放的是加密算法和令牌形式; 载荷:存放的主要是通信的内容,且不能存放敏感的信息(主要是用户的账号和角色码); 签名:存放头部和载荷以及密钥; 3.加密的算法主要有两种: ①HMSA的对称式加密,具体的就是HS256对称式加密。 HS256加密算法,具体是先对头部和载荷利用base64加密(此加密
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值