【sduoj】前端JWT的使用

最新推荐文章于 2024-05-13 14:53:10 发布
最新推荐文章于 2024-05-13 14:53:10 发布
阅读量4.8k 收藏 24
点赞数 3
分类专栏: 2021SC@SDUSC 文章标签: 1024程序员节 前端 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53126706/article/details/120925322
版权

2021SC@SDUSC

文章目录

序言

由于HTTP协定是不储存状态的,当我们刚刚透过帐号密码验证一个使用者时,下一个request请求就把刚刚的资料忘了。所以我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全易用,我们就需要验证用户否处于登录状态。
在大多数前后端分离的项目中,JWT是常见的一个认证标准,特别适合用于分布式站点的单点登录场景。JWT全称是JSON web token。是一种为了在网络应用中传递数据而创造的一种开放标准。在JWT之前,大多数的web应用是采用session认证的,前后端分离开发成为主流之后,JWT也就登上了舞台。

传统认证方式

在介绍JWT之前,我们先来讲一下传统的认证方式。

session认证

众所周知,HTTP请求是一种无状态的协议(stateless)。这意味着,当用户通过验证账号密码的方式进行用户认证后,用户进行下一次业务请求时还需要再次验证身份。因为HTTP协议不记录状态,所以服务器无法知道是哪个用户发出的请求。为了使服务器能够识别出是哪个用户发送的请求,我们只能在服务器端储存一份用户的登录信息。当用户登录成功时,我们将这份登录信息随着响应发送给浏览器,并告知其应当将该信息作为cookie保存。当用户再次发送请求时,其登录信息将作为cookie被请求携带着发送给服务器,从而使服务器能够区分出不同的用户。
但是,在互联网蓬勃发展的当下,各大web应用的使用人数也在指数型增长,若要储存每个用户的登录信息,对服务器来说无疑是个重大的负担。而且由于登录信息是储存于服务器端,这种传统的session认证方式也很难用于分布式系统中。同时,session还有着很大的安全隐患,由于该认证方式基于cookie识别用户,一旦cookie被截获,很容易遭受CSRF攻击。

基于Token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

JWT

JWT是什么

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的构成

当我们看到一段看似毫无意义的字符串,由三段文本构成,每段文本间以.来分割开来,且以eyJhbGciOiJ作为开头的话,那么这段字符串很有可能就是一段JWT字符串。例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

一个JWT由三段字符串构成,第一段我们叫它头部(header),第二部分被称为载荷(payload),最后一部分则叫做签证(signature)。

头部(header)

JWT的头部包含两部分信息:

  • 声明使用的加密算法(通常使用带有SHA-256的HMAC)
  • 声明类型(JWT)
    比如上面举的JWT例子的头部解析后就是:
{
  "alg": "HS256",
  "typ": "JWT"
}

载荷(payload)

这个部分是用来存储有效信息的地方,包含有三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明
标准中注册的声明
  • iss:jwt的签发者
  • sub:jwt所对应的用户
  • aud:jwt的接收者
  • exp:jwt的过期时间
  • nbf:在这个时间之前jwt是不可用的
  • iat:jwt的签发时间
  • jti:jwt的唯一标识,用于关键业务,生成一次性token避免重放攻击
公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。

私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息。

签证(signature)

最后这部分由三部分组成:

  • header
  • payload
  • secret

这部分是通过加密后的header和加密后的payload使用.连接成的字符串,再通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
注意:secret是保存在服务器端的,jwt的生成签发也是在服务器端完成的,其应当作为服务器的私钥,任何时候都不应该泄露出去。一旦第三方获得了这个密钥,就意味着第三方可以自行签发jwt。

JWT的使用方式

前端储存JWT

通过分析SDUOJ源码可知,当用户执行登录操作后,后端会将签发的JWT字符串置于响应体的data字段。由于token需要长期保存,因此应当使用localStorage进行储存。

import axios from 'axios';
axios.post(
	"/user/login",
	{
		username: this.userId,
		password: this.userPsw,
	},
).then((res)=>{
	if (res.status === 200) {
		localStorage.setItem("token", res.data.data);
		this.$message({
			title: "登录成功",
			message: "登录成功!正在为您跳转页面...",
			type: "success",
			duration: 1000,
			showClose: false,
			onClose: () => {
				this.$store.dispatch("setNoToken", false);
				this.$router.go(-1);
			},
		});
	} else {
		this.$alert(
			`错误代码${res.data.code}${res.data.message}`,
			"登录失败",
			{
				type: "error",
			}
		);
	}
});

请求携带JWT

一般是在请求头里加入Authorization字段,并加上Bearer标注。
例如,在SDUOJ项目中,是这样使用的:

import axios from 'axios';
axios.post(
	'/test', // url
	{num: 1}, // data
	{
		headers: {
			Authorization: `Bearer ${token}`
		}
	}, // options
).then((res)=>{
	console.log(res);
})

服务器会负责接收token并验证,当验证通过后则进行业务处理。整个流程就是这样的:
jwt-diagram

前端提取JWT携带的信息

前面也有提到,JWT的payload模块可以携带一些业务逻辑所必要的非敏感信息。因此,前端需要能够解析出JWT字符串。
举个例子,在sduoj中,需要判断用户的登录信息是否合法,其中一项评判标准就是JWT是否过期。在后端的服务器代码中存在这一部分逻辑,而在前端的代码中,也包含了这一段逻辑代码。
前端的代码逻辑中,仅在用户首次与sduoj的前端页面建立会话时进行判断。因此,判断JWT是否过期的代码存放在了页面的主组件App.vue中。具体代码如下:

// 首先判断localStorage中是否存在token字段
if(localStorage.getItem("token") !== null) {
	/**
	 * 注意,由于localStorage是以字符串形式取出的
	 * 当token字段是空字符串时,javascript会将其转换为布尔值false。
	 * 因此需要增加!==null进行判断。	
	 */
	// 使用模块加载器将通过yarn安装的jsonwebtoken加载进来
	let jwt = require("jsonwebtoken"); 
	// 使用jsonwebtoken解析JWT字符串
	const TOKEN = jwt.decode(localStorage.getItem("token"));
	/**
	 * 通过jsonwebtoken解析后将会得到包含payload非敏感部分明文的JSON对象
	 * 提取jwt的过期时间,过期时间处在exp字段下
	 * 注意:jwt的时间单位比javascript、java等语言的时间单位要大3个数量级
	 * 因此,需要给解析出的时间乘上1000
	 */
	let exp = TOKEN.exp * 1000;
	// 判断当前时间是否已超过token的过期时间
	if (exp <= new Date().getTime()) {
		this.$message({
			message: "您的身份认证已过期,请重新登陆",
			type: "warning",
			duration: 1000,
			onClose: () => {
				/**
				 * 消息提示关闭后执行两项任务
				 * 1.将过期的token字段从localStorage中移除
				 * 2.为用户跳转至登录界面
				 */
				localStorage.removeItem("token");
				this.$router.push("/login");
			},
		});
	}
} else {
	// 当localStorage中不存在token字段时,自动跳转至登录界面
	this.$router.push("/login");
}

最后祝各位程序员节日快乐!

小栗帽今天吃什么
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT的基本使用
weixin_45081813的博客
03-04 1万+
什么是JWT
JWT从0到1,小白入门(JWT在vue前端中的使用
个人为2024届在校大学生,希望分享的代码有助于各位
12-03 3405
是一种用于在Web应用程序之间安全传输信息的开放标准(RFC 7519)。它是一种基于JSON的小型身份验证和授权标准,包含了在不同系统之间传递的信息,如用户身份信息和其他元数据。
2024年前端最新JWT(JSON Web Token)的基本原理,2024年最新开发面试流程
最新发布
2401_84447362的博客
05-13 763
总的来说,面试官要是考察思路就会从你实际做过的项目入手,考察你实际编码能力,就会让你在电脑敲代码,看你用什么编辑器、插件、编码习惯等。所以我们在回答面试官问题时,有一个清晰的逻辑思路,清楚知道自己在和面试官说项目说技术时的话就好了开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】四、HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 3607
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
什么是Jwt
qq_45593068的博客
07-16 291
什么是Jwt 什么是Jwt:Json Web Token也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 https://jwt.io/ 传统的session认证: 1.认证方式 我们知道, http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
详解JWT token心得与使用实例
10-16
例如,`{"typ": "JWT", "alg": "HS256"}` 表示这是一个JWT,并使用HS256算法进行签名。 - **有效载荷(Payload)**:包含了实际的数据,比如用户ID(userid)、签发者(iss)、签发时间(iat)和过期时间(exp)等...
Django rest framework jwt使用方法详解
09-18
2. 存储和使用 JWT:客户端保存 JWT,并在后续请求中将其放入 `Authorization` 头部,如 `Authorization: Bearer <JWT>`。 3. 验证 JWT:服务器接收到请求后,验证 JWT 的签名,确认其有效性,然后处理请求。 ...
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是...
Django项目中使用JWT的实现代码
09-18
在Django项目中集成JSON Web Token (JWT) 可以为用户提供无状态的身份验证,而无需使用传统的会话管理。JWT是一种轻量级的身份验证机制,适用于前后端分离的应用。以下是如何在Django项目中使用JWT的详细步骤: 1. ...
jwt身份令牌数据处理 前后端分离式开发
Bugxiu_fu的博客
10-15 2085
jwt入门 jwt的理解 和基本使用控制用户登陆后台与前台分离部分实例
JWT前端后端的各项配置(Vue3+webapi)
lgl1170479655的专栏
07-15 1012
一、后端接口:WebApi 1.appsettings.json文件 { "Logging": { "LogLevel": { "Default": "Information", "Microsoft": "Warning", "Microsoft.Hosting.Lifetime": "Information" } }, "Authentication": { "SecretKey": "JianKeEducationCRMAP
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
weixin_45131680的博客
10-07 1557
RFC 7519HMACRSAorECDSAJSON Web Token (JWT)是一种开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于作为JSON对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是数字签名的。JWTs可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。通俗的解释JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
前端JWT怎么进行用户认证?
青玉白露的博客
01-03 497
实现用户认证和权限控制是Web应用开发中的重要部分,关系到用户的隐私和数据安全。在Go语言的后端开发中,一般会使用JSON Web Tokens(JWT)搭配存储中间件(如Redis)来处理用户认证和权限控制。JWT是一个开放标准 (RFC 7519),它定义了一种自包含的方式,用于在各方之间安全地传输信息作为一个 JSON 对象。这种信息可以被验证和信任,因为它是数字签名的。在用户认证的背景下,当用户使用他们的凭证(比如,用户名和密码)首次登录时,服务器会创建一个JWT,并将其发送回用户。
基于vue-element-admin的后台权限验证系统
06-29
 本课程是基于vue-element-admin实现的后台权限验证系统,解决在前后端分离场景下如何实现前端与后端的动态权限,同时还会讲解基于laravel7.x的restful api接口的开发以及如何在脚手架中进行封装调用对于前后端将要讲解的知识,分别列举如下:前端:1、学习如何使用后台集成框架vue-element-admin进行后台前端框架的搭建 2、学习如何在vue-element-admin中使用element-ui组件,学习到iconfont图标库的使用方法,学习到后台通用列表页面的制作方式 3、学习如何在前后端分离下,实现前端菜单的动态权限,如何进行请求的统一拦截 4、学习到前端项目的前后端联调,打包上线,如何在服务器层解决前后端分离引起的跨域问题 5、学习如何借助linux脚本实现代码自动上线部署后端:1、如何使用laravel编写restful api接口 2、如何使用composer进行项目依赖管理,laravel常用扩展的安装与使用,如dingo/api 以及repository 3、如何使用jwt进行实现后台用户认证机制 4、使用laravel扩展包的形式进行后台权限验证开发 5、如何编写Seeders帮助我们在新系统里实现管理员的初始化 6、如何使用git进行项目代码管理与部署 
前端JS的jwt的token解码方式:
weixin_48706421的博客
02-17 6153
jwt的token解码方式: //首先拿到token码然后以点为分隔符转为数组 let token=localStorage.getItem(‘token’).split("."); console.log(token); //然后拿到第二段token也就是负载的那段 进行window.atob方法的 base64的结算,然后再用decodeURIComponent字符串解码方法 解析出字符串 然后再转成JSON对象 let user=JSON.parse(decodeURIComponent(window
JWT的概念以及如何使用
qq_47905231的博客
06-02 364
JSON Web Token (JWT)
JWT Token 的生成及解密
arlene 的博客
02-16 5719
文章目录 一、登录流程? 二、使用步骤 1.引入jwt 库 2.生成 token 3.验证 token 总结 一、登录流程? 前端发送请求 -> 后端验证通过后签发 Token ->前端存入token,在请求其他接口是将token带入header头中 二、使用步骤 1.引入jwt 库 安装: composer require firebase/php-jwt 依赖composer,通过cmd进入项目根目录 或者项目终端安装: 检...
前端怎么使用jwt的HS256加密数据
04-21
你可以先在前端页面获取用户输入的用户名和密码,然后将这些数据通过POST请求发送给后端API。后端API会将这些数据进行...在生成Token的过程中,需要指定JWT的算法为HS256,这样生成的Token就是使用HS256算法加密的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小栗帽今天吃什么

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值