jsonweb token验证问题

最新推荐文章于 2024-04-17 12:26:16 发布
最新推荐文章于 2024-04-17 12:26:16 发布
阅读量1k 收藏 1
点赞数
文章标签: 数据库 jwt
原文链接:https://xuezenghui.com/posts/jwt/
版权

jwt 原理
在这里插入图片描述

  1. 客户端用户使用用户名和密码通过 POST 请求登录或注册
  2. 服务端确认用户合法,生成一个 JWT
  3. 将 JWT 返回给客户端,客户端将其保存在本地(一般保存在 localStorage 中)
  4. 之后客户端向服务端发送 HTTP 请求需要将 JWT 加入请求头中
  5. 服务器解析 JWT,检查是否合法且有效
  6. 根据检查结果对客户端做出响应

JWT 结构

服务端生成的 JWT 是一段很长的字符串,由三部分组成,分别为 Header(头部)、Payload(负载)和 Signature(签名),中间用.分隔:
在这里插入图片描述
1. Header

头部 Header 是经过 Base64Url[1] 编码的 JSON 对象:

{
“alg”: “HS256”,
“typ”: “JWT”
}
其中,alg是 JWT 所使用的签名算法,默认为HS256,typ即 Token 的类型。

2. Payload

负载 Payload 是一个包含传递数据的 JSON 对象,同样经过了 Base64Url 编码,包含以下可选属性:

iss:发行人
sub:主题
aud:受众群体
exp:到期时间
nbf:生效时间
iat:签发时间
jti:JWT ID

详情请参考 Registered Claim Names。

Payload 中的属性也可以自行添加,但由于 JWT 的内容对任何人都可见,除非对 JWT 进行二次加密,否则不能将任何机密的数据写入其中。

3. Signature

Signature 签名操作是在获取到了 Header 和 Payload 后进行的,比如 Header 中指定的是 HS256 算法,那么会通过以下方式创建 Signature:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

其中的secret为保存在服务端的密钥,一般需要定期更新。完成签名后就将这三部分拼接在一起返回给客户端:

JWT = `${Header}.${Payload}.${Signature}`;

NodeJS 中实现 JWT

JWT 在各种语言中都有实现,如 java-jwt、angular2-jwt、go-jwt-middleware 等,更多的实现可在 auth0-docs 中查看,此处以 NodeJS 中的实现 jsonwebtoken 为例进行用户的认证。

先使用 express-generator 创建项目,安装需要的依赖:

npm install mongoose jsonwebtoken --save

连接 MongoDB 后添加 users 集合的数据库模型:

const mongoose = require('mongoose');
const Schema = mongoose.Schema;

const userSchema = new Schema({
    "username": { type: String, required: true },
    "password": { type: String, required: true },
});

module.exports = mongoose.model("User",userSchema, "users");

生成 JWT

为了更好地复用,完成一个公共的生成 JWT 方法:

const jwt = require('jsonwebtoken');
const secret = "zander";

function createJWT(username, sub, exp, strTimer) {
  const jwt = jwt.sign({
    user: username, // 用户名
    sub: sub // 主题
  }, secret, {
    expiresIn: `${exp}${strTimer}` // 过期时间
  })
  return jwt;
}

注册接口

router.post('/register', async (req, res) => {
  const { username, password } = req.body;
  const userData = { username, password };

  const saveData = await new User(userData).save();
  const jwt = createJWT(username, 'register', 1, 'h');
  
  res.json({
    status: 200,
    data: saveData,
    token: jwt
  })
})

postman测试
在这里插入图片描述
登陆接口

router.post('/login', async (req, res) => {
  const { username, password } = req.body;
  
  const userData = await User.findOne({ username, password });
  if (!userData) {
    return res.json({
      status: 501,
      msg: '登录信息有误'
    })
  }
  const jwt = createJWT(username, 'login', 5, 'd');
  res.json({
    status: 200,
    data: userData,
    token: jwt
  })
})

在这里插入图片描述

验证 JWT

服务端生成了 JWT 后不保存,直接发送给客户端,而客户端拿到了 JWT 后将其保存下来,在发送其它请求时需要将 JWT 加入到请求头中:

Authorization: Bearer <token>

然后服务端验证 JWT 是否合法且有效:

// 验证token方法
function verifyJWT(token) {
  let decoded;
  try {
    decoded = jwt.verify(token.split(" ")[1], secret);
  } catch (err) {
    return err.message;
  }
  return decoded;
}

// 根据用户名获取密码接口
router.get('/password', async (req, res) => {
  const token = req.headers['authorization'];
  const { username } = req.query;
  
  if (!token) {
    return res.json({
      status: 501,
      msg: 'Not authorized'
    });
  }
  const info = verifyJWT(token);
  if(typeof info === "string"){
    return res.json({
      status: 501,
      msg: info
    });
  }
  const userData = await User.findOne({ username });
  res.json({
    status: 200,
    data: userData.password
  })
})

非法请求
非法的请求
正确的请求
在这里插入图片描述

Amnesia�
关注
报错:java.lang.ClassNotFoundException: io.jsonwebtoken.security.Keys
**My Coding Family**
10-10 1099
如上问题有的来自我自身项目开发,有的收集网站,有的来自读者…如有侵权,立马删除。再者,针对此专栏中部分问题及其问题的解答思路或步骤等,存在少部分搜集于全网社区及人工智能问答等渠道,若最后实在是没能帮助到你,还望见谅!并非所有的解答都能解决每个人的问题,在此希望屏幕前的你能够给予宝贵的理解,而不是立刻指责或者抱怨!如果你有更优解,那建议你出教程写方案,一同学习!共同进步。ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏。
什么是 JWTJson Web Token
wjiaman
10-27 1279
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
wso2-jwt-verify:jsonwebtoken jwt.verify()对我不起作用。 从WSO2 API网关JWT(Java)签名令牌时
04-27
wso2-jwt-verify 用于验证JWT签名的Express中间件 使用RSA wso2carbok私钥与WSO3 SHA256签名 jsonwebtoken jwt.verify()对我不起作用。 在WSO2中启用了JWT,方法是: ://docs.wso2.com/display/AM190/Passing+Enduser+Attributes+to+the+Backend+Using+JWT ##### SHA256WITHRSA 从WSO2安装服务器下载了/repository/resources/security/wso2carbon.jks 使用打开 在密钥列表中,右键单击wso2corbon并单击“导出”>“公共密钥”>“ OpenSSL”>“命名为” public.key” 向WSO2 API网关发送请求 curl -k -d " grant_type=p
Json Web Token身份认证
william的博客
05-17 587
用户身份认证一般有5种方式 HTTP Basic authentication在发送请求时在HTTP头中加入authentication字段,将用Base64编码的用户名和密码作为值,每次发送请求的时候都要发送用户名和密码,实现比较简单。 Cookies向后台发送用户名和密码,在用户名和密码通过验证后,保存返回的Cookie作为用户已经登录的凭证,每次请求时附带这个Cookie Si...
JSON Web Token (JWT) 与 Token认证
分享技术,共同进步!
10-16 1348
一、JWT是什么? JWT是目前最流行的跨域认证解决方案。 JWT是一个定义一种紧凑的,自包含的并且提供防篡改机制的传递数据的方式的标准协议。 二、基于token的认证与session认证的区别 1️⃣传统的session认证: http协议是一无状态协议,所以如果用户向后台应用提供了用户名和密码来进行认证,下一次请求时,用户还是要带上用户名和密码进行用户认证。为了使后台应用能识别是哪个用户发出......
nodejs 使用jsonwebtoken进行权限验证
weixin_55510188的博客
12-30 4135
用session的方式不好实现跨域的权限验证token保存在客户端,服务端只做token的签发和token验证,所以jsonwebtoken可以实现跨域的权限验证。 在nodejs项目中封装一个使用jsonwebtoken进行token签发和token验证的模块。 // 导入jsonwebtoken const jwt = require('jsonwebtoken') // 本地的密钥,随便定义 const PRIVATEKET = 'huangweizhi' // token过期时间 con
node.js(第八章)登录鉴权方式二 JSON Web Token (JWT)
微光无限的博客
08-03 655
node.js(第八章)登录鉴权 JSON Web Token (JWT)
Json Web TokenJWT)介绍与基本使用详解及完整源码示例
最新发布
11-05
Json Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
JWT-Json Web Token-目前最流行跨域身份验证解决方案
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
djangorestframework-simplejwt:用于 Django REST 框架的 JSON Web Token 身份验证插件
07-24
Django REST Framework SimpleJWT 是一个专门针对 Django REST 框架设计的 JSON Web Token (JWT) 身份验证插件。JWT 是一种安全的身份验证机制,它允许在客户端和服务端之间传输认证信息,而无需在每次请求时发送...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWTJson Web Token)实现token认证 ~ 简介
qq_44601070的博客
11-20 171
JWTJson Web Token)实现token认证 ~ 简介
JwtJson web token)——使用token的权限验证方法 &amp; 用户+角色
2401_84267735的博客
04-17 1144
PrivsCheck.java文件/*** 定义注解*/
JWTJSON Web Token
loongkingwhat的博客
08-02 612
JWTJSON Web Token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 一、JWT的应用场景 JWT一般应用的场景如下所示: (1)用户通过登录等手段向Authentication Server发送一个认证请求 (2)认证通过之后,Authentication Server会返回给用
node js的token生成与验证之“jsonwebtoken
Codernmx
07-24 2140
❤️在繁华中自律,在落魄中自愈❤️ 目录一、生成token二、验证token三、完整的jwt.js 代码四、配合express使用token验证五、/api/login接口中的配置六、前端请求拦截器和响应拦截 知道token的都不用多介绍,在node js 中使用的时候是需要引入 jsonwebtoken。 导入包 npm install jsonwebtoken -save 一、生成token //生成token const generateToken = function (user) { l.
基于Token的身份验证——JSON Web Token
JackDan9
09-05 1226
基于Token的身份验证——JSON Web Token Token的维基百科 token的维基百科,可以了解Token的发展和定义。 Token的广泛应用 现如今的很多大型网站,比如Facebook、Twitter、Google+以及Github等等,比起传统的身份验证方法,Token扩展性更强,也更安全点,非常适合用在Web应用或者移动应用上。 Token的在中文翻译中有”令...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JSON Web Token (JWT)的简单介绍、验证过程及令牌刷新思路
10-21
Jwt验证过程导入到项目中的util包下。
json web token 实践登录以及校验码验证
weixin_34161032的博客
04-27 901
去年我写了一篇介绍 jwt 的文章。 文章指出如果没有特别的用户注销及单用户多设备登录的需求,可以使用 jwt,而 jwt 的最大的特征就是无状态,且不加密。 除了用户登录方面外,还可以使用 jwt 验证邮箱验证码,其实也可以验证手机验证码,但是鉴于我囊中羞涩,只能验证邮箱了。 另外,我已在我的试验田进行了实践,不过目前前端代码写的比较简陋,甚至没有失败的回馈提示。至于为什么前端写的简陋,完全是因...
Node项目中使用jsonwebtoken实现JWT认证
柯晓楠
04-27 1020
1、需求说明 在前后端分离开发中,前端使用Vue.js框架,通过axios发送异步HTTP请求,服务端就无法使用session的方式保存用户的登录信息,因为客户端的每一次异步请求在服务端都会被认为是一个新的session。我们可以使用jwtjsonwebtoken)的方式实现用户的校验。 2、安装相关依赖 服务端: 本文中使用Express作为服务端框架,需要在服务端安装以下JWT依赖: cnpm i jsonwebtoken --save cnpm i express-jwt --save 前端: 在
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值