JWT-token介绍

最新推荐文章于 2024-06-30 20:52:42 发布
最新推荐文章于 2024-06-30 20:52:42 发布
阅读量1.4k 收藏 2
点赞数 2
文章标签: html javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43667836/article/details/120384060
版权

token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。

JWT(json web token) 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户

{
"姓名": "张三",
"角色": "管理员",
"到期时间": "2022年7月11日0点0分"
}

用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。

当然,为了防止用户篡改数据,服务器在生成这个对象的时候,会给他加密一下,就是我们看到的一个长长的字符串

出现解决的问题是:跨域认证解决方案

 jwt-实际操作:

1.初始化代码:

前端

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <h1>token</h1>
    <input type="text" id="username" name="name" value="admin"/>
    <input type="text" id="password" name="password" value="123456"/>
    <button id="btn_login">登录,获取token</button>

    <button id="btn_testToken">没有token,不能访问</button>
    <button id="btn_delToken">删除token</button>

    <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.0/jquery.min.js"></script>
    <script>
        
        $('#btn_delToken').click(function(){
        })
 
       $('#btn_testToken').click(function(){
          $.ajax({
               type:'get',
               url:'http://localhost:3000/test',
               success(res){
                   console.log(res);
               }
           })
       })

       $('#btn_login').click(function(){
          $.ajax({
               type:'post',
               url:'http://localhost:3000/login',
               data:{name:$('#username').val(),password:$('#password').val()},
               success(res){
                   console.log(res);
               }
           })
       })
       
    </script>
</body>
</html>

后端代码:

const express = require('express')
const cors = require('cors')
const app = express();
app.use(cors({origin:true,credentials:true}))

app.use(express.urlencoded())

app.post('/login',(req,res)=>{
    console.log('接收到的数据是', req.body)
    const {name, password} = req.body
    if(password === '123456') {
        res.json({msg:'登录成功'})
    } else {
        res.json({msg:'登录失败'})
    }
})

app.get('/test',(req,res) => {
    res.json({msg: '测试tokenOk'})
})

app.listen(3000, ()=>{
    console.log(3000);
})

2.服务器端:登录成功创建token:

使用第三方模块 jsonwebtoken 创建token字符串。

   2.1基本步骤:

  1. 在项目中下载安装 npm i jsonwebtoken

  2. 加载模块 const jwt = require('jsonwebtoken');

  3. 在用户登陆成功之后,调用 jwt.sign() 方法创建token, 它有如下4个参数:

  • 参数1:必填,对象形式;希望在token中保存的数据

  • 参数2:必填,字符串形式;加密的钥匙;后续验证token的时候,还需要使用

  • 参数3:可选,对象形式;配置项,比如可以配置token的有效期

  • 参数4:可选,函数形式;生成token之后的回调

  • 生成的token前面,必须拼接 Bearer 这个字符串。

参考代码:

const express = require('express')
const multer = require('multer')
const cors = require('cors')
const app = express();
app.use(cors({origin:true,credentials:true}))
const jwt = require('jsonwebtoken');
app.use(express.urlencoded())

app.post('/login',(req,res)=>{
    console.log('接收到的数据是', req.body)
    const {name, password} = req.body
    if(password === '123456') {
        // 调用生成 token 的方法
        const tokenStr = jwt.sign({name: name }, 'heima61', { expiresIn: 5 });
        const token = 'Bearer ' + tokenStr
        res.json({msg:'登录成功', token})
    } else {
        res.json({msg:'登录失败'})
    }
})

app.get('/test',(req,res) => {
    res.json({msg: '测试tokenOk'})
})

app.listen(3000, ()=>{
    console.log(3000);
})

3.浏览器端:保存后端回传的token:

保存在localStorage

$('#btn_login').click(function(){
  $.ajax({
    type:'post',
    url:'http://localhost:3000/login',
    data:{name:$('#username').val(),password:$('#password').val()},
    success(res){
      console.log(res);
+      localStorage.setItem('token', res.token)
    }
  })
})

4.浏览器端:发请求时手动携带token:

必须放置在Authorization中

$('#btn_testToken').click(function(){
  $.ajax({
    type:'get',
    url:'http://localhost:3000/test',
    headers: {
+      Authorization: localStorage.getItem('token'),
    },
    success(res){
      console.log(res);
    }
  })
})

5.服务器端:实现token认证

选择使用 express-jwt 第三方模块进行身份认证。从模块名可以看出,该模块是专门配合express使用的。

   5.1.下载安装

       

npm i express-jwt

5.2中间件技术-验证token

const expressJwt = require('express-jwt');
// app.use(jwt().unless());
// jwt() 用于解析token,并将 token 中保存的数据 赋值给 req.user
// unless() 约定某个接口不需要身份认证
app.use(expressJwt({
  secret: 'heima61', // 生成token时的 钥匙,必须统一
  algorithms: ['HS256'] // 必填,加密算法,无需了解
}).unless({
  path: ['/login'] // 除了个接口,其他都需要认证
}));

上述代码完成后,当一个接口请求到了服务器后,它会自动验证请求头中的 Authorization 字段了,并且会自动完成:

  • 如果没有问题

    1. 将token中保存的 数据 赋值给 req.user

    2. next()。

  • 如果有问题,则抛出错误 next(错误信息)

6.补充中间件技术-统一处理错误

在所有的路由最后,加入错误处理中间件,来提示token方面的错误。

app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    // res.status(401).send('invalid token...');
    res.status(401).send({ status: 1, message: '身份认证失败!' });
  }
});

咱俩差着境界呢
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT token心得与使用实例
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
JwtToken详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
JWT生成Token
最新发布
zhuge_long的专栏
06-30 1150
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
关于JWT token
qq_36186068的博客
09-19 372
结合https://blog.csdn.net/qq_37636695/article/details/79265711谈一下如何在java中使用JWT 上述文章说明了在sso简单来说,单点登录SSO(Single SignOn)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录。也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如...
基于JWT前后端token认证
热门推荐
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
session与token
Uzizi的博客
07-30 445
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
"jwt-token-verifier"是一个专门用于验证JWT令牌的工具或库,它专注于与OpenID Connect提供程序(OP,OpenID Provider)交互。OpenID Connect是基于OAuth 2.0协议的身份认证层,它允许用户通过一个可信的第三方认证...
jwt-token.zip
12-28
token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。虽然现在的登录注册打都不用自己写了,很多优秀的框架已经帮忙完成了,但是学习jwt还是必要的,但是为了避免重复造轮,其实没必要自己写...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份...
nodejs-jwt-token-authentication-api
05-09
nodejs-jwt-token-authentication-api 此Api提供jwt令牌身份验证,并用于为用户生成jwt令牌。安装运行此命令以安装所需的依赖项。 npm install 在根目录中创建一个.env文件,并添加以下常量在.env文件下添加mongodb...
lck-jwt-token.rar
07-22
基于令牌方式实现互联网开放平台API安全...原理:每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。 资源下载解压即可使用
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
JWT-token
qq_25140429的博客
03-13 187
最近因为项目需要,使用的jwt做验权处理,开始接触jwt,记录一点所看文档及代码的心得。使用过jwt的人都知道生成的token是eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.XbPfbIHMI6arZ3Y922BhjWgQ...
JWT token
vengu733的博客
11-08 302
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密【可解析的】。官网: https://jwt.io/
关于JWTToken
架构专栏
07-04 1万+
关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 ...
JWT token 跨域认证
weixin_30918415的博客
08-02 513
JSON Web Token(缩写 JWT),是目前最流行的跨域认证解决方案。 session登录认证方案:用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。 以后访问其他页面,自动从cookie中取到session_id,再从session中取认证信息。 另一类解决方案,将认证信息,返回给客户端,存储到客户端...
【微思探索】【实战】账号系统有了cookie,为什么还需要token
koukou2009的博客
07-22 1436
大家在使用很多网站的过程中,实际上都只需要cookie来管理用户session就够了,然而实际上,笔者认为如果在cookie的基础上,再加入用户的token,两者共同来管理用户的session,那就更加完美了。 以我新上线的网站微思探索为例,我们使用了cookie的同时,也增加了token作为用户的另外一重身份认证机制。 众所周知,cookie存在CSRF窃取session的问题,当然你可以通...
Json Web Token(jwt)
liangshitian的博客
09-28 2073
1、什么是jwt 目前流行的跨域认证解决方案,一种基于JSON的、用于在网络上声明某种主张的令牌(token),通过后台是否识别此令牌来保证安全性, 负载中携带了用户的一些信息,减少数据库查询量(官网: https://jwt.io/)。 2、jwt原理 jwt = 头部(header)+载荷(payload)+签证(signature) 1)header: JWT的header声明了2部分信息,类型和加密算法, { 'typ':'JWT', 'alg':'HS256' } 将其ba
怎么解析jwt-go的token
08-20
- *1* *2* *3* [(4)go web开发之 JWT-Token认证机制Access Token与Refresh Tokenjwt-go 库介绍及在项目中使用](https://blog.csdn.net/pythonstrat/article/details/121875782)[target="_blank" data-report-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值