基于jsonwebtoken(JWT) 的web认证 (Node版实现)

最新推荐文章于 2021-01-14 15:29:37 发布
最新推荐文章于 2021-01-14 15:29:37 发布
阅读量127 收藏
点赞数
文章标签: 运维 json 数据库
原文链接:https://segmentfault.com/a/1190000015255975
版权

什么是JSON Web Token ?

官方给出的定义是:
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、独立的方式,用于安全地在当事人之间传递信息作为一个JSON对象。这些信息可以被验证和信任,因为它是数字签名的。JWTs可以使用一个secret (使用HMAC算法)或使用RSA的公钥/私钥对来签名。 文中我们使用公私钥的加密方式。

结构

由下面三个部分组成一个token字符串

  • Header

    • header通常由两个部分组成:令牌的type,即JWT,以及正在使用的散列算法,如HMAC SHA256或RSA。

  • Payload ,包含三个类型,自定义部分可以存储一些信息,如:用户信息、角色等;

    • Registered claims:已注册的,具体属性,点击传送
    • Public claims:自定义的,具体属性,点击传送
    • Private claims:这是在同意使用它们的各方之间共享信息的自定义声明,并且既没有注册也没有公开声明。

  • Signature

    • 使用header、payload和secret生成一个签名

工作流程

这里直接使用官网的图
图片描述

他的优点是什么?

  1. 使用json传输数据,因此在编码时,也会更小
  2. 更安全
  3. 无需在服务端保存相关信息,只需要验证token是否有效即可

代码实现

这里使用express来创建一个服务

  1. 创建一个入口文件,主要用于一些中间件的挂载

    
 //index.js
 const express = require('express')
const app  = express()
// 使用body-parser获取请求body
const bodyParser = require('body-parser');
const cookieParser = require('cookie-parser')


// 引入路由中间件
const routerAdmin = require('./app/router-admin')

app.use(bodyParser.json()); // for parsing application/json
app.use(bodyParser.urlencoded({ extended: true })); // for parsing application/x-www-form-urlencoded
app.use(cookieParser())

// 加载路由模块
app.use('/admin',routerAdmin);

app.listen(3000,function(){
    console.log('port 3000 start')
})

  2. 然后创建一个 app/router-admin.js 生成需要用到认证的路由中间件,这里我是在mongodb中取的用户信息,也可以自行模拟数据

    //router-admin.js 

const express = require('express')
const router = express.Router()
var MongoClient = require('mongodb').MongoClient;

const jwt = require('jsonwebtoken')
const fs = require('fs')
// const secretStr = 'sdfsjfklsjfiewjwoieow'

// 根据mongodb生成的_id查询数据
var ObjectId = require('mongodb').ObjectId
var url = "mongodb://localhost:27017/";

var payload = {
    user : 'william',
    admin : true
}

router.post('/login',function(req,res){
    let name = req.body.name,
        pwd = req.body.pwd;
    var cert = fs.readFileSync('./private.key')
    MongoClient.connect(url, function(err, db) {
        if (err) throw err;
        var dbo = db.db("blog");
        var noSqlStr = {name:name,pwd:pwd}
        dbo.collection("userlist"). find(noSqlStr).toArray(function(err, result) { // 返回集合中所有数据
            if (err) throw err;
            // console.log(result);
            // 验证通过,服务端回传token
            if(!!result.length){
                var token = jwt.sign(payload, cert, { algorithm: 'RS256' ,expiresIn:'30s'});
                res.send({
                    status : true,
                    msg : '',
                    token : token
                })
            }          
            db.close();
        });
    });
})

// 验证jsonwebtoken是否过期的中间件,在login接口后面执行,除了login接口的请求外,其他接口都需要验证token
router.use(function jwtVerify(req, res, next) {
    let token = req.get('token')
    console.log(token)
    var cert = fs.readFileSync('./public.key');  
    // 先解密
    jwt.verify(token, cert,function(err,decoded){
        if(err || !decoded) res.send({data:null,status:false,msg:err})
        
        if(decoded.user == payload.user){
            next();
        }
        
    });
});

router.get('/search',function(req,res){
    res.send({data:'查询成功',msg:'',status:true})
})


module.exports = router

  3. 因为这里使用的是公私钥的加密方式,需使用ssh-keygen生成公私钥

        私钥生成:ssh-keygen -t rsa -b 2048 -f private.key
    公钥生成:openssl rsa -in private.key -pubout -outform PEM -out public.key

完整项目地址

参考

  1. https://jwt.io/introduction/
  2. https://tools.ietf.org/html/r...
weixin_33733810
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析jsonwebtokenjwt)在nodejs中的使用。
weixin_34380781的博客
05-09 1777
这里要用到三个插件, 加上前端一共是至少4个插件 >>>>>>后端应用: jsonwebtoken //生成token字符串 passport //token解析主插件 passport-jwt // 密钥解析规则插件, 有密钥解析 ------------------------------------------------------------ &...
layui前端框架(EasyWeb后台开发框架)
12-28
layui开发框架,包含各种layui插件及使用
Nodejs项目中使用token验证,jwt,jsonwebtoken
热门推荐
知无涯
11-09 1万+
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析. 抽空研究了一下nodejs的jwt如何做,下面来记录一下 使用的包是 "jsonwebtoken": "^8.3.0" 包的github地址 主要用到的方法是 生成token jwt.sign() 验证token jwt.verify() ...
node.js加密token(jsonwebtoken)
qq_40816649的博客
02-23 1797
每一个app都要有用户,而有用户就要有每个用户单独的tokenjsonwebtoken是一个可以加密生成token和解密token的中间件。 npm install jsonwebtoken --save安装 我将这个过程封装到了一个中间件中并通过个koa2框架使用 const jwt = require('jsonwebtoken') module.exports =...
nodejs之后台验证签名的设计规则、token的设计、jwt使用、JsonWebToken
代码解释生活
07-20 2811
后台签名:https://www.cnblogs.com/whcghost/p/5657594.html token机制:https://www.cnblogs.com/zhaodagang8/p/7879387.html 基于token的多平台架构设计:https://www.cnblogs.com/beer/p/6029861.html Token - 服务端身份验证的流行方案https...
nodejs平台基于jsonwebtoken的登录认证
03-18
nodejs平台基于jsonwebtoken的登录认证
node-jwt:使用jsonwebtokennode js的JWT实现
05-16
节点-jwt 使用Node js的JWT实现
Node.js的Koa实现JWT用户认证方法
10-18
本篇文章主要介绍了Node.js的Koa实现JWT用户认证方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Python 基于jwt实现认证机制流程解析
09-16
主要介绍了python 基于jwt实现认证机制流程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jwt:基于jsonwebtoken包的JWT实用程序模块:unlocked:
02-13
基于包的的JWT实用程序模块。 安装 $ npm i --save @nestjs/jwt 用法 导入JwtModule : @ Module ( { imports : [ JwtModule . register ( { secret : 'hard!to-guess_secret' } ) ] , providers : [ ... ] , } )...
jwt配置 restful_GitHub - JiangnanVL/easyweb-jwt: 基于 SpringBoot、jwtJwtPermission实现的前后端分离开发框架,接口遵循RESTf...
weixin_33098963的博客
01-14 224
easyweb-jwt简介基于 SpringBoot、jwtJwtPermission实现的前后端分离开发框架,接口遵循RESTful风格,相比SpringSecurity和oAuth2.0框架更加轻量级。在线演示:http://oauth.easyweb.vip/, 账号:admin,密码:admin。使用技术描述框架核心框架Spring、Spring Boot、Spring MVC持久层My...
node后端使用jwt实现跨域认证--生成token、验证token是否无效和过期
weixin_34203832的博客
05-27 2064
2019独角兽企业重金招聘Python工程师标准>>> ...
基于 Token 的身份验证:JSON Web Token
qq_34441176的博客
08-06 4986
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 文章先介绍了一下传统身份验证与基于 JWT 身份...
5步轻松理解JSON Web令牌(JWT)
蚂蚁的洞
04-27 475
在本文中,将解释JSON Web令牌(JWT)的基本概念,以及使用它们的原因。JWT是确保应用程序中的信任和安全性的重要部分。JWT允许以安全的方式表示声明,例如用户数据。 为了解释JWT是如何工作的,让我们从一个抽象的定义开始。 JSON Web令牌(JWT)是一个JSON对象,它在 RFC 7519 中定义为在双方之间表示一组信息的安全方法。令牌由头、有效负载和签名组成。 简而言之,JWT...
node使用JsonWebToken 生成token,完成用户登录、登录检测
aasa0304的博客
08-12 255
最近在用node做后台的登录,检测登录功能。在本地使用session可以成功,但是放服务器后发现session失效了,每次请求session都会变化,着了很久原因。原来,自己项目是前后端分离的,前端调用后端api接口,因此使用cors = require('cors')来解决了跨域问题,而跨域对于cookie来说,就是两个不同的网站,因此session会不停的变。 起因 最近在用no...
单点登录的3中方式
weixin_34192732的博客
08-30 1011
2019独角兽企业重金招聘Python工程师标准>>> ...
单点登录 Token机制 JWT
每天写程序
05-23 1961
单点登录 多个系统,单一位置登录,实现了多个系统同时登录。 三方登录 某系统,使用其他系统的用户,实现本系统登录的方式。 这是解决信息孤岛和用户不对等的实现方案。 Token 机制 传统的身份验证。 用户发 输入账号密码发送请求到服务器,服务器验证通过后,服务器端生成一条记录,该记录信息里说明该登录的用户是谁,然后把这条记录的ID号发给客户端。将session信息保存在服务端(sessionI...
ASP.NET WebApi 基于JWT实现Token签名认证(发布)
最新发布
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由...这样,我们就成功地基于 JWT 实现Token 签名认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值