Token && WebJsonTaken详解

最新推荐文章于 2024-01-01 11:01:41 发布
最新推荐文章于 2024-01-01 11:01:41 发布
阅读量944 收藏 4
点赞数
分类专栏: NodeJs cookie 文章标签: node
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37971962/article/details/102781818
版权

Token && WebJsonTaken详解

一、Token原理及使用

1、Token的概念:

Token是服务端生成的一个字符串,是客户端生成的一个标识,作为客户端进行请求的一个令牌。当第一次登录后,服务器生成的Token会返回给客户端,之后客户端只需带上这个标识去请求数据就可以了,不需要再次带上用户名和密码。

2、Token作用:

生成Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

3、Token的使用:

在这里我主要分析基于登录的过程中的Token使用,归纳如下:

(1)用户未登录时侯,访问客户端A,客户端A的服务器检测到用户没登录(通过cookie判断没传过来session对应cookie),就去通知浏览器跳转到SSO服务站点,并在跳转的URL参数中带上当前页面的url,以便登录后自动跳转回本页。

(2) SSO服务站点检测到用户没有登录,于是显示登录界面,用户提交登录请求到服务端,服务端验证通过,创建和账号对应的用户登录凭据(token),然后服务端通知浏览器把该token作为SSO服务站点的cookie存储起来,并跳转回客户端A,跳回客户端A的URL参数中会带上这个token。

(3) 浏览器在写SSO服务站点cookie后,跳转回客户端A。客户端A服务端检测到浏览器请求的URL中带了站点登录的token,于是把这个token发到SSO服务站点验证。SSO服务端站点拿token,解密出用户账号,把账号信息中允许客户端A访问的部分返回给客户端A。客户端A根据返回的信息生成用户在本站的会话,把会话对应的cookie写入浏览器,从而完成在本站的登入以及会话保持。之后用户再次访问客户端A时,都会带上这个cookie,从而保持在本站的登录状态。

(4)假设用户再访问客户端B,客户端B服务器检测到用户没登录,于是通知浏览器跳转到SSO服务站点。

(5)浏览器访问SSO服务站点时会带上之前创建的token这个cookie,然后SSO服务站点会根据该token,找到对应用户。然后通知浏览器跳转到客户端B,并在跳转回去的URL参数中带上这个token。

(6)客户端B服务端检测到浏览器请求的URL中带上了站点登录的token,于是又会走上述的步骤,完成用户在本站的自动登录。

以上就是token在前端登录过程中的整个大致经过;

二、JsonWebToken

1、JWT的概述

服务器认证以后,生成一个 JSON 对象,返回给用户,就像下面这种格式。

{
  "姓名": "mike",
  "角色": "管理员",
  "到期时间": "2018年7月1日0点0分"
}

之后所有的用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名;

2、JWT的组成部分

JsonWebToken的主要是由Header(头部)、PayLoad(负载)、Signature(签名)这三部分组成。

Header.Payload.Signature
(1)Header

header是一个json对象,主要由2部分组成,一个是token的类型,一个是使用的算法

{
    type:"jwt",	//typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
    
    alg:"HS256"	//alg属性表示签名的算法(algorithm),默认是 HMAC SHA256;
}
(2)PayLoad

Payload 部分也是一个 JSON 对象,它是用来存放实际需要传递的数据。JWT 官方规定了7个字段,归纳如下:

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

当然,上述只是官方定义的,我们自己也可以定义自己的私有字段,定义格式如下:

{
   iss:"admin",
   user:'alley', 
}

**注:**JWT默认是不加密的,任何人都可以读到,所以不要把私密信息放入这个部分。

(3)Signature

Signature 是对之前两个组成部分的签名,主要是为了防止数据篡改。

(1)需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。

(2)使用 Header 里面指定的签名算法(默认是 HMAC SHA256),它是按照如下格式产生签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

类似这样:

Header.Payload.Signature
3、JWT的使用

以下是基于EXpress的使用方法:

const jwt = require("jsonwebtoken");
const secret = "secret";//签名


const getCookie = (key)=>{
    const cookies = req.headers.cookie;
    const arr = cookies.split("; ");
    for(var i=0;i<arr.length;i++){
        let newArr = arr[i].split("=");
        if(newArr[0] == key){
            return newArr[1];
        }
    }
}


//验证token
const verifyTokenMiddle = (req,res,next)=>{
    let token = getCookie("token");
    
    jwt.verify(token, scret, function(err, decoded) {
        if(err){
            return res.json({
                state:false,
                info:"token验证失败"
            })
        }
        next()
  });  
}




//创建token
const createToken = (username)=>{
    const payload = {
        user:username
    }
    
    return jwt.sign(payload, secret,{expiresIn:'1h'});
}


module.exports = {
    createToken,
    verifyTokenMiddle 
}
南栀@F
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
反爬虫JavaScript 逆向分析之token解密
2201_76125393的博客
10-04 1039
url = https://spa2.scrape.center/ #大家自行查看只有一个token是加密的,那就直接全局搜索一下token看看在哪里,直接锁定最后一个。进入函数以后,发现逻辑很明显,token是由 _0x3d6250 这里面产生的。打个断点,走向就更清晰了。我们再来全局搜索一下** _0x4fcbf0**这个东东。搜索结果,怎么看怎么像token产生的地方,又有时间戳,又有Base64,又有SHA1这种关键词,老规矩在return打个断点。
Vue项目报错:Uncaught SyntaxError: Unexpected token <
10-17
主要介绍了Vue项目报错:Uncaught SyntaxError: Unexpected token <,在引入第三方依赖的 JS 文件时,遇到的一个问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
js获取token的函数
热门推荐
周呆呆的备忘中心
10-16 2万+
1.从cookies获取 /** * 从Cookies获取token * */ function getToken(){ var strcookie = document.cookie;//获取cookie字符串 var arrcookie = strcookie.split("; ");//分割 //遍历匹配 for ( var i = 0; i &l...
jsjs解析Token
最新发布
SunPeng的博客
01-01 774
js解析Token
解析token的一种方式
qq_45733762的博客
07-29 623
代码】解析token的一种方式。
JS逆向爬虫----请求参数加密【token】①
Jesse_Kyrie的博客
09-12 2708
通过nodejs编写了关键参数token的生成方法,并已经通过了测试。token参数是动态变化的,整个逆向过程涉及sha1.base64等加密算法与实用调试技巧。
jsrsasign解析token获取用户信息
咸鱼起码是条鱼
11-19 4763
在uniapp开发,遇到一种情况,就是在某个模块,我需要根据登录的账号判断有没有权限看到该模块。于是,本来我以为这些信息都存在用户登录接口里,后来发现原来都装在token,也就是说,我这边存储获取到token后需要自己去解析。 1.下载依赖 npm install jsrsasign 2.封装一个公共方法 import jsrsasign from 'jsrsasign' export const decodeToken = (token) => { let obj = null if (
解决vue打包后刷新页面报错:Unexpected token <
10-16
主要介绍了解决vue打包后刷新页面报错:Unexpected token <相关知识点,需要的朋友们参考下。
token AT&A
02-23
在IT行业,"Token"是一个广泛使用的术语,特别是在网络通信和身份验证领域。"AT&A"可能是指一家公司或服务的名称,结合描述的“公网平台私有通道”,我们可以推测这是一个涉及网络安全和数据传输的场景。 1. **...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
详解JSON Web Token 入门教程
10-18
主要介绍了详解JSON Web Token 入门教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
struts-csrf-cracker:用于预测 Struts2 CSRF Token < 2.3.20 的概念代码证明
07-06
[ ] 完整的解释可以阅读: 执行预览: == Initial tokenH6P3Y3GHIC2865ASZVQ913NR93QZO7BR== Initial token in hex (easier evaluation)14b08fcbf6523eecd7dd7d3e89cf97d6f478db5617Guessing part..== bytes ...
thinkphp框架使用JWTtoken的方法详解
10-16
主要介绍了thinkphp框架使用JWTtoken的方法,结合实例形式分析了JWTtoken的功能、原理及thinkPHP使用JWTtoken实现签名验证的相关操作技巧,需要的朋友可以参考下
原生js通过jwt解析token获取token携带的信息(学习篇)
skyblue_afan的博客
12-10 5436
1、原生js解析通过jwt解析token获取token携带的信息 //data.data.normal_login_token为发送Ajax获取到的token信息 var strings = data.data.normal_login_token.split(".");//通过split()方法将token转为字符串 //取strings[1]数组的第二个字符进行解析 var userinfo = JSON.parse(decodeURIComponent(escape(window.atob(str
前端JS的jwt的token解码方式:
weixin_48706421的博客
02-17 6206
jwt的token解码方式: //首先拿到token码然后以点为分隔符转为数组 let token=localStorage.getItem(‘token’).split("."); console.log(token); //然后拿到第二段token也就是负载的那段 进行window.atob方法的 base64的结算,然后再用decodeURIComponent字符串解码方法 解析出字符串 然后再转成JSON对象 let user=JSON.parse(decodeURIComponent(window
原生 js 解析 jwt token
elef的博客
07-23 4907
采用原生 js 对 jwt token 进行解析 var token = res.headers.authorization; //在请求头获取token let strings = token.split("."); //截取token,获取载体 var userinfo = JSON.parse(decodeURIComponent(escape(window.atob(strings[1].replace(/-/g, "+").replace(/_/g, "/"))))); //解析,需要吧‘_’
第三方登录之使用GitHub OAuth
最爱不过土豆泥的博客
12-31 392
一:登陆流程解析 官方文档 阮一峰的博客 bilibili A 网站让用户跳转到 GitHub。 GitHub 要求用户登录,然后询问"A 网站要求获得 xx 权限,你是否同意?" 用户同意,GitHub 就会重定向回 A 网站,同时发回一个授权码。 A 网站使用授权码,向 GitHub 请求令牌。 GitHub 返回令牌. A 网站使用令牌,向 GitHub 请求用户数据。 流程图 二...
Uncaught SyntaxError: Unexpected token &lt详细解决方法
10-06
遇到 "Uncaught SyntaxError: Unexpected token &lt" 这个错误是因为你在代码使用了 HTML 实体字符 "&lt",它表示 "符号。JavaScript 无法识别这个字符,因此会抛出语法错误。 要解决这个问题,你需要将 "&lt" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值