JWT之token机制与双token详解

最新推荐文章于 2024-07-31 16:33:32 发布
最新推荐文章于 2024-07-31 16:33:32 发布
阅读量1.4w 收藏 136
点赞数 26
分类专栏: nodejs 文章标签: jwt javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41634455/article/details/112591318
版权

token机制

何为token

​ token即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息

为何token

  • token可以减少敏感信息在网络间的传递
  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用
  • JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展

基于token的登录流程

token登录流程图

基于token的请求流程

token请求流程图

token的结构

先来看看生成的jwt token的样子:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MTA1NDcyMzQsImRhdGEiOiJkYXRhIiwiaWF0IjoxNjEwNTQwMDM0fQ.Qno5UbhzAvlN6QAXpbqpOkeTMt4qEQvmY50Yh87JD74

token分为3个部分,每个部分由一个字符 “ . ”相连:

  1. 第一部分(头部/header):

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

    头部与http的头部差不多作用,是用来存放声明信息的,其主要有:

    {
     
	"typ":
最低0.47元/天 解锁文章
羽冰_
关注
  • 26
    点赞
  • 136
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
TokenJwt详解
向着高亮的地方
10-30 3940
区别: Token验证方式:由于服务器没有存储token数据,因此需要先从数据库中查询当前token,服务器再是验证否有效; JWT验证方式:直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息,在第二部分payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是JWT自己实现的。 接下来,详细介绍TokenJwt相关概念 1.To...
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 475
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 1812
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1486
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
jwt续签为什么要使用token,是否单个token也可以吗?
java架构师进阶之路的博客
02-26 679
通俗易懂,深入浅出,一文讲清楚jwt的所有细节。
实战指南:在Vue.js与Express中实现Token验证以提升API安全性及用户体验
afeng_666的博客
04-11 1113
Token验证体系结构的核心在于Access Token与Refresh Token的协同工作。而Refresh Token则扮演着长期授权的角色,在Access Token失效后,用于获取新的Access Token,避免了频繁要求用户重新登录。其中,Token验证作为一种灵活且安全的身份验证方式,尤其在OAuth 2.0标准中得到了广泛应用。今天我们将深入探讨一种更为安全的身份验证机制——Token验证,并通过实例演示如何在实际项目中实施这一方案。
JWTToken详解
m0_46217225的博客
04-10 1748
1. JWT用于登录身份验证。 2. 用户登录成功后,后端通过JWT机制生成一个token,返回给客户端。 3. 客户端后续的每次请求都需要携带token,携带在authorization中。 4. 后端从authorization中拿到token后,通过secret进行解密验证身份。
JwtToken详解
热门推荐
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
详解JWT token心得与使用实例
01-21
token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JavaScript青少年简明教程:函数及其相关知识(下)
cnds123的专栏
07-26 667
JavaScript青少年简明教程:函数及其相关知识(下)
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 505
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
VUE3自定义指令防止重复点击多次提交
MadSnail00的博客
07-30 232
vue3连续点击按钮重复提交,vue3自定义指令防止重复提交
RN高级interview
最新发布
流星雨的博客
07-31 302
RN高级interview
我们的前端开发逆天了!1 小时搞定了新网站,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 1791
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的站点,用过的都说真香!
angular入门基础教程(四)动态属性与事件
峰会路转的博客
07-29 166
状态的变化导致属性值的变化,这个时候我们就需要用到动态属性,ng中的动态属性用[]包裹即可。
新手vue学习问题汇总(自用)(长期更新)
lapiii的博客
07-28 370
是 ES6 模块语法,用于导出模块的默认成员。在 Vue.js 中,通常用来导出一个组件对象,使其可以在其他文件中被导入并使用。
jwt生成token详解
06-01
JWT(JSON Web Token)是一种用于身份验证的开放标准(RFC 7519)。它通过数字签名验证消息的完整性,因此,JWT可以安全地传输信息。JWT通常用于Web应用程序中,以验证用户的身份。 生成JWT token的步骤如下: 1. 首先,需要选择一个加密算法,如HMAC SHA256或RSA。 2. 构建JWT token的header部分。header部分是一个JSON对象,它描述了JWT的类型和加密算法。例如: ``` { "alg": "HS256", "typ": "JWT" } ``` 其中,"alg"表示使用的加密算法,"typ"表示JWT的类型。 3. 构建JWT token的payload部分。payload部分也是一个JSON对象,它包含要传输的信息,例如用户ID、用户名、过期时间等。例如: ``` { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } ``` 其中,"sub"表示主题(通常是用户ID),"name"表示用户名,"iat"表示JWT的发布时间。 4. 使用密钥对header部分和payload部分进行签名。签名可以确保消息的完整性和真实性。签名的方法取决于所选择的加密算法。例如,如果使用HMAC SHA256,签名可以如下计算: ``` HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` 其中,"secret"是一个密钥,用于计算签名。 5. 将header部分、payload部分和签名组合在一起,用"点"连接起来,形成JWT token。例如: ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIy. SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 其中,第一个部分是base64UrlEncode后的header部分,第二个部分是base64UrlEncode后的payload部分,第三个部分是签名。 因为JWT token包含签名,所以接收方可以验证它的完整性和真实性。如果签名验证失败,说明该消息可能已被篡改或伪造。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值