前后端分离项目中的jwt令牌应用

最新推荐文章于 2024-05-10 15:47:34 发布
最新推荐文章于 2024-05-10 15:47:34 发布
阅读量189 收藏
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60147611/article/details/131438517
版权

做为前后端分离项目中,授权认证常用token令牌做为身份认证的方式,对于jwt令牌的获取、验证、解析以及存储,分别示例如下:

需要安装两个nuget包,分别为:IdentityModel和Microsoft.AspNetCore.Authentication.JwtBearer

1、JWT令牌生成及获取

                    //写Session或Cookies换成JWT


                    IList<Claim> claims = new List<Claim> {
                        new Claim(JwtClaimTypes.Id,admin.AdminId.ToString()),
                        new Claim(JwtClaimTypes.Name,loginDto.UserName),
                        new Claim(JwtClaimTypes.Email,loginDto.UserName),
                        new Claim(JwtClaimTypes.Role,string.Join(",", ""))
                    };

                    //JWT密钥
                    var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(configuration["JwtConfig:Bearer:SecurityKey"]));

                    //算法
                    var cred = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

                    //过期时间
                    DateTime expires = DateTime.UtcNow.AddHours(10);


                    //Payload负载
                    var token = new JwtSecurityToken(
                        issuer: configuration["JwtConfig:Bearer:Issuer"],
                        audience: configuration["JwtConfig:Bearer:Audience"],
                        claims: claims,
                        notBefore: DateTime.UtcNow,
                        expires: expires,
                        signingCredentials: cred
                        );

                    var handler = new JwtSecurityTokenHandler();

                    //生成令牌
                    string jwt = handler.WriteToken(token);

2、JWT验证部分

JWT在Startup中的配置,主要用来使用固定的配置密钥对JWT的Token进行有效性验证。

            //数据库连接
            services.AddDbContext<SmsDBContext>(action => {
                action.UseSqlServer(Configuration.GetConnectionString("Default"));
            });

            services.AddCors(option =>
            {
                option.AddDefaultPolicy(policy =>
                {
                    //对应客户端withCredentials,需要设置具体允许的域名
                    policy.WithOrigins("http://web.a.com:88").AllowCredentials();
                    policy.AllowAnyMethod();
                    policy.AllowAnyHeader();
                });
            });

            services.AddAuthentication(option => {
                option.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            }).AddJwtBearer(
                option => {
                    option.TokenValidationParameters = new TokenValidationParameters
                    {
                        //是否验证发行人
                        ValidateIssuer = true,
                        ValidIssuer = Configuration["Authentication:JwtBearer:Issuer"],//发行人

                        //是否验证受众人
                        ValidateAudience = true,
                        ValidAudience = Configuration["Authentication:JwtBearer:Audience"],//受众人

                        //是否验证密钥
                        ValidateIssuerSigningKey = true,
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Authentication:JwtBearer:SecurityKey"])),

                        ValidateLifetime = true, //验证生命周期

                        RequireExpirationTime = true, //过期时间

                        ClockSkew = TimeSpan.Zero   //平滑过期偏移时间
                    };
                }
            );

另外,还需要配置相应的认证中间件和授权中间件

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
                app.UseSwagger();
                string ApiName = "Rbac.Core";
                app.UseSwaggerUI(c =>
                {
                    c.SwaggerEndpoint("/swagger/V1/swagger.json", $"{ApiName} V1");
                    c.SwaggerEndpoint("/swagger/gp/swagger.json", "登录模块");
                    c.SwaggerEndpoint("/swagger/mom/swagger.json", "业务模块");
                    c.SwaggerEndpoint("/swagger/dm/swagger.json", "其他模块");

                    //路径配置,设置为空,表示直接在根域名(localhost:8001)访问该文件,注意localhost:8001/swagger是访问不到的,去launchSettings.json把launchUrl去掉,如果你想换一个路径,直接写名字即可,比如直接写c.RoutePrefix = "doc";
                    c.RoutePrefix = "";
                });
            }

            //app.UseHttpsRedirection();

            //静态文件中间件
            app.UseStaticFiles();

            //路由中间件
            app.UseRouting();

            //跨域
            app.UseCors();

            //认证中间件
            app.UseAuthentication();

            //授权中间件
            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }

经过上面配置,可以完成JWT令牌的生成及校验。

3、前端Axios的令牌保存及请求授权接口

前端接收到Api接口返回的token令牌后,应该把token保存起来,保存的位置可以是localStorage或sessionStorage,当访问授权接口时,从localStorage或sessionStorage中取出令牌,通过HTTP请求头进行访问。

import router from '../router'
import axios from 'axios'
let baseUrl = "http://localhost:5000/api";

axios.defaults.baseURL = baseUrl;
axios.defaults.headers.common['Authorization'] = `bearer ${localStorage.getItem('token')}`;

// 添加响应拦截器
axios.interceptors.response.use(function (response) {
    // 对响应数据做点什么
    return response;
  }, function (error) {
    router.push("/");
    return Promise.reject(error);
  });

export default {
    baseUrl,
    axios
}

 4、Swagger中的权限小锁配置

                //开启权限小锁
                options.OperationFilter<AddResponseHeadersFilter>();
                options.OperationFilter<AppendAuthorizeToSummaryOperationFilter>();
                options.OperationFilter<SecurityRequirementsOperationFilter>();

                //在header中添加token,传递到后台
                options.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
                {
                    Description = "JWT授权(数据将在请求头中进行传递)直接在下面框中输入Bearer {token}(注意两者之间是一个空格) \"",
                    Name = "Authorization",//jwt默认的参数名称
                    In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
                    Type = SecuritySchemeType.ApiKey
                });

wzh.1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
thinkphp+jwt实现前后端分离
03-15
使用Thinkphp6+jwt 简单实现前后端分离
jwt令牌的基本使用,前端如何存储token
Zm6Cc的博客
12-25 382
首先生成一个map集合,用于封装user的键值对,随后将其加密成token形式,考虑到缓存类型数据,可以使用redis数据库进行缓存,并设置好过期时间,用于后期的更新密码后token的校验。用于生成 JWT,它接收一个 claims 参数,该参数是一个包含业务数据的 Map 对象。这个方法使用给定的业务数据和过期时间,使用密钥 KEY 对 JWT 进行签名,并返回生成的 JWT 字符串。用于解析 JWT,它接收一个 JWT 字符串作为参数,并使用密钥 KEY 验证 JWT 的签名和有效性。
JWT双token前端的存储及请求
Claire_Mk的博客
03-20 2175
什么是token: token即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 什么是双token: 用户登录后,要在一段时间内的请求不用重新登录,APP端的这个时间很长多方面考虑可使用双token,用户端要缓存两个token,一个是access_token,一个是refresh_token。如果只使用一个token并把世界设置很长是有很大缺陷的。第一是为了安全,时间设置的
JWT令牌的使用
wptalenter的博客
05-21 633
1 JWT的结构 JWT令牌由三部分组成,每部分间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)一个例子如下: 下边是Header部分的内容 { "alg":"HS256", "typ":"JWT" } 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。 Payload 第二部分是负载,内容也是一个json对象,...
前后端分离常用的认证方式( Session 、JWT
cliper9768的博客
01-08 2908
jwt为了防止泄露,应该将有效期设置的比较短,为了减少盗用, 最好使用HTTPS协议传输,因为HTTP是明码传输的。session-cookie方案 就是利用cookie来管理session,即把 Session 放入 HTTP 响应还给客户端,并保存在客户端,当客户端发送下一次请求的时候,就把这个 Session 一起发送回来,这样就能这次的请求是谁发出来的了。更像是一种授权机制。token(令牌,访问资源的凭证) 认证是一种机制,具体的实现可以是一个随机的字符串,也可以是标准的jwt
登录验证Jwt令牌,过滤器,拦截器
qx020814的博客
04-22 482
jwt令牌有三个部分,第一部分是令牌名,然后数据名,最后加密数据。前两个使用了64个字母代替加密,第三个用算法对前两个就行加密,只有jwt解密算法才能解。后端用一个拦截器,login放过,直接去验证登录,其他的路径就验证jwt令牌,没有或者不合法全部拦截下来,返回前端错误提示。登录成功后返回一个加密jwt前端保存到本地,每次使用add,del,sel时,将数据放在请求头传到后端。如果客户没登陆的情况下访问非login页面,就会强行跳转到登录页面。拦截器:(拦截器会有一个跨域问题,得设置一下)
前端JWT的使用
weixin_53271997的博客
06-18 976
主要介绍前端部分JWT的使用
jwt身份令牌数据处理 前后端分离式开发
Bugxiu_fu的博客
10-15 2026
jwt入门 jwt的理解 和基本使用控制用户登陆后台与前台分离部分实例
JWT令牌技术快速入门
2301_79024228的博客
07-12 1626
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
Swagger添加Token验证
dotNET跨平台
04-10 1503
平常做项目使用mvc+webapi,采取前后端分离的方式,后台提供API接口给前端开发人员。这个过程遇到一个问题后台开发人员怎么提供接口说明文档给前端开发人员。为了解决这个问题,项目引用swagger(我比较喜欢戏称为“丝袜哥”)。列出所有API控制器和控制器描述那么既然是api,肯定涉及到安全验证问题,那么怎么在测试文档增加添加Token安全验证呢;下面我们来看看1、定义swagger请求头...
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
若依前后端分离项目部署文档(完整版)
04-07
第一部分:部署linux + nginx 第二部分:部署Windows+tomcat 第三部分:调用第三方api的跨域问题处理。 以及常见的部署后页面显示404 的问题处理。...高效率开发,使用代码生成器可以一键生成前后端代码。)
JAVA著名免费框架若依前后端分离项目详细部署文档
08-21
第一部分:部署linux + nginx 第二部分:部署Windows+tomcat 第三部分:调用第三方api的跨域问题处理。 以及常见的部署后页面显示404 的问题处理。...高效率开发,使用代码生成器可以一键生成前后端代码。)
个人博客前后端分离项目.rar
05-03
项目是一个前后端分离的个人博客项目,后端使用SpringBoot,前端使用Vue。不仅如此,该项目还使用了JWT做登录校验及Redis。代码里也有注释,灰常适合学习一哈哦!
【2023】前端JWT详解
接着奏乐接着舞的博客
04-13 2928
jwt本质上是一种令牌格式。它和终端设备无关,同样和服务器无关,甚至与如何传输无关,它只是规范了令牌的格式而已jwt由三部分组成:header、payload、signature。主体信息在payloadjwt难以被篡改和伪造。这是因为有第三部分的签名存在。
前后端分离式开发 jwt的使用
qq_62898618的博客
10-05 1526
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
Vue axios 前端 ASP.Net Core WebAPI 后台JWT Token 认证
yyshenxiang_1的博客
04-20 1127
Vue axios 前端 ASP.Net Core WebAPI 后台JWT Token 认证1、ASP.Net Core WebAPI JWT Token 认证2、Vue axios 访问3、总结 1、ASP.Net Core WebAPI JWT Token 认证 ASP.Net Core Web API 应用程序。 控制器: [Route("[controller]/[action]")] [ApiController] public class AuthControll
50个前端实战项目之04:隐藏的搜索小组件
前端开发博客
05-03 1146
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋转导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
根据地址栏url上key获取值
最新发布
wwf1225的博客
05-10 138
/ 根据url上key获取值,key为参数名字,例如token。
springboot vue jwt swagger前后端分离 mysql后台管理
09-08
前后端分离的架构JWT被广泛应用于用户身份验证和权限管理。 Swagger是一个用于设计、构建、文档化和使用RESTful Web服务的工具集合。它提供了一套自动生成API文档的功能,能够大大减少开发人员编写和维护API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值