JS总结笔记:基于 Token 的身份验证:JSON Web Token

最新推荐文章于 2024-05-11 11:01:05 发布
最新推荐文章于 2024-05-11 11:01:05 发布
阅读量5.2k 收藏 7
点赞数 2
分类专栏: JS总结笔记 文章标签: Json Web Tokens Token 令牌
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41350225/article/details/87561614
版权

Token

什么是Token?

在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证的token

为什么使用token?

我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token

基于Token的身份验证方法(步骤)

  1. 客户端使用用户名和密码请求登录
  2. 服务端收到请求,验证登录是否成功
  3. 验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息
  4. 客户端收到Token后把Token用一种方式存储起来,如( cookie / localstorage / sessionstorage / 其他 )
  5. 客户端每次发起请求时都会将Token发给服务端
  6. 服务端收到请求后,验证Token的合法性,合法就返回客户端所需数据,反之,返回验证失败的信息

JWT(Json Web Tokens)

生成Token的解决方案有许多,常用的一种就是 Json Web Tokens

JWT标准的Tokens由三部分组成:

  1. header:包含token的类型和加密算法
  2. payload:包含token的内容
  3. signature:通过密钥将前两者加密得到最终的token

这三部分中间使用 " . " 分隔开,并且都会使用Base64编码方式编码,如下

eyJhbGc6IkpXVCJ9.eyJpc3MiOiJCIsImVzg5NTU0NDUiLCJuYW1lnVlfQ.SwyHTf8AqKYMAJc

header

header 部分主要是两部分内容,一个是 Token 的类型,另一个是使用的算法,比如下面类型就是 JWT,使用的算法是 Hash256
头部里包含的东西可能会根据 JWT 的类型有所变化,比如一个加密的 JWT 里面要包含使用的加密的算法。唯一在头部里面要包含的是 alg 这个属性,如果是加密的 JWT,这个属性的值就是使用的签名或者解密用的算法。如果是未加密的 JWT,这个属性的值要设置成 none

{
  "typ": "JWT",
  "alg": "HS256"
}

payload

Payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。下面是标准字段:

  • iss:Issuer,发行者
  • sub:Subject,主题
  • aud:Audience,观众
  • exp:Expiration time,过期时间
  • nbf:Not before
  • iat:Issued at,发行时间
  • jti:JWT ID

比如下面这个 Payload ,用到了 iss 发行人,还有 exp 过期时间这两个标准字段。另外还有两个自定义的字段,一个是 name ,还有一个是 admin

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

signature

JWT 的最后一部分是 Signature ,这部分内容有三个部分,先是用 Base64 编码的 header.payload ,再用加密算法加密一下,加密的时候要放进去一个 Secret ,这个相当于是一个密码,这个密码秘密地存储在服务端

  • header
  • payload
  • secret
const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

处理完成以后看起来像这样:

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成并且要发送给客户端的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.		//header
eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.		//payload
SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc		//signature

客户端收到这个 Token 以后把它存储下来,下回向服务端发送请求的时候就带着这个 Token
服务端收到这个 Token ,然后进行验证,通过以后就会返回给客户端想要的资源

签发与验证 JWT

在应用里实施使用基于 JWT 这种 Token 的身份验证方法,你可以先去找一个签发与验证 JWT 的功能包。无论你的后端应用使用的是什么样的程序语言,系统,或者框架,你应该都可以找到提供类似功能的包

实例演示
使用node.js实现jwt验证

准备项目

准备一个简单的 Node.js 项目
安装签发与验证 JWT 的功能包,我用的叫 jsonwebtoken,在项目里安装一下这个包

cnpm install jsonwebtoken -S
在这里插入图片描述

签发 JWT

在项目里随便添加一个 .js 文件,比如 index.js,在文件里添加下面这些代码

const jwt = require('jsonwebtoken')//const定义的变量不可以修改,而且必须初始化

// Token 数据
const payload = {
  name: 'guoxiansheng',
  admin: true
}

// 密钥
const secret = 'STUDYJWT' // 这是加密的key(密钥或私钥) 

// 签发 Token
const token = jwt.sign(payload, secret, { expiresIn:60*60*24})//expiresIn设置为24小时过期

// 输出签发的 Token
console.log(token)

非常简单,就是用了刚刚为项目安装的 jsonwebtoken 里面提供的 jwt.sign 功能,去签发一个 token。这个 sign 方法需要三个参数:

  1. playload:签发的 token 里面要包含的一些数据
  2. secret:签发 token 用的密钥,在验证 token 的时候同样需要用到这个密钥
  3. options:一些其它的选项

在命令行下面,用 node 命令,执行一下项目里的 index.js 这个文件(node index.js),会输出应用签发的 token:

C:\Users\Administrator\Desktop\work\JWT>node index.js	//执行的命令
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiZ3VveGlhbnNoZW5nIiwiYWRtaW4iOnRydWUsImlhdCI6MTU1MDQ4NDMzOSwiZXhwIjoxNTUwNTcwNzM5fQ.UqlYyQK4wzw5DtHlr2TupI4Ja2fU6tIF5DhASDLoBwM

上面的 Token 内容并没有加密,所以如果用一些 JWT 解码功能,可以看到 Token 里面包含的内容,内容由三个部分组成,像这样:

// header
{
  "alg": "HS256", //对称算法HS256 签名和验证的时候都会用同一个密码
  "typ": "JWT"
}

// payload
{
  name: 'guoxiansheng',
  admin: true,
  iat: 1550484653,	//生成Token的时间
  exp: 1550571053 	//Token的过期时间
}

// signature
UqlYyQK4wzw5DtHlr2TupI4Ja2fU6tIF5DhASDLoBwM

假设用户通过了某种身份验证,你就可以使用上面的签发 Token 的功能为用户签发一个 Token。一般在客户端那里会把它保存在 Cookie 或 LocalStorage 里面

用户下次向我们的应用请求受保护的资源的时候,可以在请求里带着我们给它签发的这个 Token,后端应用收到请求,检查签名,如果验证通过确定这个 Token 是我们自己签发的,那就可以为用户响应回他需要的资源

验证 JWT
验证 JWT 的用效性,确定一下用户的 JWT 是我们自己签发的,首先要得到用户的这个 JWT Token,然后用 jwt.verify 这个方法去做一下验证。这个方法是 Node.js 的 jsonwebtoken 这个包里提供的,在其它的应用框架或者系统里,你可能会找到类似的方法来验证 JWT。

打开项目的 index.js 文件,里面添加几行代码:

// 验证 Token

jwt.verify(token, 'bad secret', (error, decoded) => {
  if (error) {
    console.log(error.message)
    return
  }
  console.log(decoded)
})

把要验证的 Token 数据,还有签发这个 Token 的时候用的那个密钥告诉 verify 这个方法,在一个回调里面有两个参数,error 表示错误,decoded 是解码之后的 Token 数据。

执行:

C:\Users\Administrator\Desktop\work\JWT>node index.js

输出:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiZ3VveGlhbnNoZW5nIiwiYWRtaW4iOnRydWUsImlhdCI6MTU1MDQ5MDIyNywiZXhwIjoxNTUwNTc2NjI3fQ.1WMLfVytNgCXyjtok7oE4JincarM4vWXXtfxNtpPwK8
invalid signature

注意输出了一个 invalid signature ,表示 Token 里的签名不对,这是因为我们组长 verify 方法提供的密钥并不是签发 Token 的时候用的那个密钥。这样修改一下:

jwt.verify(token, secret, (error, decoded) => { ...

再次运行,会输出类似的数据:

C:\Users\Administrator\Desktop\work\JWT>node index.js
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiZ3VveGlhbnNoZW5nIiwiYWRtaW4iOnRydWUsImlhdCI6MTU1MDQ5MDIxNCwiZXhwIjoxNTUwNTc2NjE0fQ.AxoDKLOFBpjmhRDHq5xkhqm8UNSOnTfW3oQOetfo10w
{ name: 'guoxiansheng',
  admin: true,
  iat: 1550490214,
  exp: 1550576614 }

当然还可以采用RS256 算法签发验证Token
非对称算法RS256
签名和验证的时候用的不是同一个密码

注意事项

设置token过期时间
如果你使用expiresInMinutes来设置token的过期时间,很抱歉它会抛出如下异常

ValidationError: "expiresInMinutes" is not allowed

请使用expiresIn:以秒为单位或描述的时间跨度字符串表示rauchg / MS。


如:60,”2 days”,”10h”,”7d”

{expiresIn: 60} // 有效期60秒(没有时间单位以秒为准)
{expiresIn: "2 days"} // 有效期 2天 (后缀为时间单位)下面的类似
...... 
('1d') // 86400000
('10h') // 36000000
('2.5 hrs') // 9000000
('2h') // 7200000
('1m') // 60000
('5s') // 5000
('1y') // 31557600000

verify(验证)时返回的err的值
token过了有效期的时错误信息

"err": {
"name": "TokenExpiredError",
"message": "jwt expired", // token过了有效期
"expiredAt": "2016-11-07T03:31:25.000Z"
}

遇到伪造或无效的token时的错误信息

"err": {
"name": "JsonWebTokenError",
"message": "invalid token" // 伪造/无效的token
}

参考地址
https://ninghao.net/blog/2834
学习视频
https://ninghao.net/course/5018#toc

BoomShaKa_S
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于 Token身份验证JSON Web Token
qq_34441176的博客
08-06 5006
最近了解下基于 Token身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 文章先介绍了一下传统身份验证与基于 JWT 身份...
Nodejs入门 token校验
2303_76218115的博客
08-31 1025
token校验作为项目里的必要项,其重要性不言而喻,今天介绍一个在Node.js中备受推崇的神奇工具——jsonwebtoken一、token是什么jsonwebtoken是什么?在互联网世界中,Token是一种用于表示身份验证和授权的令牌。以为例,它生成的JWT就是一种TokenToken通常由服务器颁发给用户,并在用户进行身份验证后用于标识用户身份。当用户希望访问需要授权的资源时,Token就成为了一种凭证,用于证明用户的身份和权限。
node中使用jsonwebtoken实现身份认证
jieyucx的博客
07-27 1652
jwt介绍JWT)是一种基于JSON的开放标准,用于在网络上以安全方式传输声明。JWT通常用于身份验证和授权。它是一种可自包含的身份认证机制,由三部分组成头部、载荷和签名。JWT的头部和载荷都是使用Base64编码后的JSON字符串,签名是由头部和载荷使用密钥进行哈希计算得到的字符串。JWT可以在客户端和服务器之间传输,并且可以在传输过程中防止数据被篡改。由于它是无状态的,因此可以简化Web应用程序的开发和维护。在本文中,我们探讨了如何在Node.js的Express框架中使用来实现身份认证。
使用 jsonwebtoken模块,生成token
最新发布
weixin_70777902的博客
05-11 884
let token =let token="Bearer "+jwt.sign({用户对象},口令,{expireIn:设置过期时间})我们可以使用expressjwt在app.js文件里进行token的验证。在使用jsonwebtoken模块的文件里进行引入require。}).unless({//开通白条,不需要验证的接口。下载指令:npm i jsonwebtoken。msg:"无效token",使用axios拦截器进行,携带token。secret:"口令",在app.js文件里进行导入。
【Node.js】jwt (jsonwebtoken)
小秀的博客
10-16 622
JWT(JSON Web Token)是一种用于实现身份验证和授权的开放标准。它是一种基于JSON的安全传输数据的方式,由三部分组成:头部、载荷和签名。
javascript - 手动实现一个jsonwebtoken_个人文章 - SegmentFault 思否
热爱科学、文人、计算机
12-23 231
javascript - 手动实现一个jsonwebtoken_个人文章 - SegmentFault 思否
nodejs登录生成token并验证
^_^
08-09 2862
开发者向 API 提供商注册应用程序,并获得一个 API 令牌,以便在应用程序中进行身份验证和授权,以访问和使用 API 提供的功能和数据。身份验证:在身份验证过程中,用户提供凭据(如用户名和密码),服务器验证凭据的有效性后会颁发一个身份验证令牌给用户。这个令牌可以是一个长期有效的持久令牌,也可以是一个短期有效的临时令牌,用于后续的请求中证明用户的身份。它可以是一个字符串、数字或其他形式的数据。验证后会把数据返回出来,就可以当时生成token传过去的数据,有了数据那么我们就可以自行获取用户信息。
笔记:会话技术案例(X马)
03-19
- **Token**:比如JWT(JSON Web Token),是一种轻量级的身份验证机制,数据存储在服务器,通过客户端传递Token进行身份验证,适用于移动应用和API。 7. **最佳实践**: - 使用HTTPS确保通信安全。 - 对敏感...
php-jws:JSON Web签名(JWS)PHP实现
05-23
库更适用于JSON WEB TOKEN(JWT)解决方案 安装 推荐的安装gamegos / jws的方法是通过 。 { " require " : { " gamegos/jws " : " ~1.0 " } } 基本用法 编码方式 $ headers = array ( 'alg' => 'HS256' , //...
drf-jwt-combination:Django REST框架+ JSON Web令牌组合
05-18
Django Rest Framework + JWT组合。 使用Postman或创建FrontEnd来使用JWT检查所有api。 回购包含: 1. API to register (generates JWT token) ...笔记: 前端将被添加。 随意超越我并提出要求
Java笔记:JWT,SWAGGER,SB.rar
01-05
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它在身份验证过程中以一种紧凑且安全的方式将声明(claims)封装为 JSON 对象。 Swagger是一种API设计规范和工具,它用于描述、构建、测试和文档化Web...
jsonwebtoken-min:jsonwebtoken(https的一文件版本
05-07
超级紧凑的node-jsonwebtoken没有依赖项 一文件版本的jsonwebtoken( ),而对像Parse.com这样的节点型服务器没有依赖性 版本 1.0.0 安装 只需将jwt.js包含在您的代码中 var jws = require ( './jwt.js' ) ; 用法 与相同:) example.js示例 变更日志 - 1.0.0 (24 september 2015) Initial commit. Included latest version (5.0.5) of node-jsonwebtoken
fundooNotes:fundooNotes是在MEAN stack中开发的Web应用程序
02-03
JSON Web Tokens (JWT) 是一种轻量级的安全身份验证机制,用于在客户端和服务器之间传递信息。 **bcrypt** 是一个常用的密码哈希库,用于安全地存储用户密码。在fundooNotes中,bcrypt可能被用来加密和验证用户账户...
在node.js中配置Token验证的两种方式
抗争小青年的博客
08-12 3148
这里的rule就是上面所说的校验规则,key.secretOrkey就是加密名字,只不过封装到了外部,expiresIn:3600,就说明是3600秒,msg返回的就是生成的Token。里的方法,同时jwt_jpayload会输出结果,得到结果后,我们在用id在User表中查询数据,然后通过req.user(数据库表名)拿到。这个方法中的User.findOne方法可以删除,写上自己的业务逻辑,我用的是mysql,所以没有用User.findeOne方法。注意,生成的token应该带有统一的格式。...
node.js实现token验证——从数据库验证登录到redis存储
weixin_43930421的博客
08-20 1782
做过前后端分离项目的同学应该都做过 token 验证,在前端登录的时候需要缓存后端传过来的 token,然后在需要验证权限的接口带上 token。本章节来实现使用 node 进行 token 的权限验证。
jwt解析token HS256算法
大数据爱好者
11-07 1万+
package com.irootech.customercloud.common.util; import com.google.gson.Gson; import com.irootech.customercloud.bean.UserRegReporBean; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder;...
[JS]JS之获取token
weixin_40736319的博客
04-19 6685
1、从cookie中获取 function getToken(){ //cookie是一个字符串 var strcookie = document.cookie;//获取cookie字符串 var arrcookie = strcookie.split("; ");//分割 //遍历匹配 for ( var i = 0; i < arrcookie.lengt...
cookie和session区别
热门推荐
weixin_62304567的博客
12-29 4万+
cookie 1.什么是cookie Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。 2.为什么要用cookie 由于http协议是一种无状态的协议(客户端和服务端互相不认识) Cookies是一些存储在用户电脑上的小文件。它是被设计用来保存一些站点的用户数据,这样能够让服务器为这样的用户定制内容。页面代码能够获取到Cookie值然后发送
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
php实现token登录
09-03
### 回答1: 在 PHP 中实现 token 登录需要以下步骤: 1. 在用户登录时,服务器端需要验证用户的身份信息(例如用户名和密码)。 2. 如果用户身份验证通过,服务器端将生成一个 token。这个 token 会包含一些用户的信息(例如用户 ID),并使用密钥进行加密。 3. 服务器端将这个 token 返回给客户端,客户端将 token 保存在本地(例如浏览器的 cookie 中)。 4. 在客户端发起请求时,会将 token 一并发送给服务器端。服务器端使用密钥解密 token,并校验 token 的合法性。如果 token 合法,则表示用户已登录;如果 token 不合法,则表示用户未登录。 下面是一个简单的 PHP 代码示例,展示了如何生成和校验 token: ``` <?php // 密钥 $secret = 'your-secret-key'; // 用户信息 $user = [ 'id' => 123, 'username' => 'john', ]; // 生成 token $header = [ 'alg' => 'HS256', 'typ' => 'JWT', ]; $payload = [ 'sub' => $user['id'], 'iat' => time(), 'exp' => time() + 3600, // 过期时间为 1 小时 ]; $header = base64_encode(json_encode($header)); $payload = base64_encode(json_encode($payload)); $signature = hash_hmac('sha256', "$header.$payload", $secret, true); $signature = base64_encode($signature); $token ### 回答2: PHP实现Token登录可以通过以下步骤来实现: 1. 首先,生成Token:在用户登录成功后,通过调用一些生成Token的函数来生成一个唯一的字符串。可以使用PHP的内置函数如`md5()`或`uniqid()`来生成Token。 2. 将Token保存到数据库中:将生成的Token与用户信息关联起来,并将其存储到数据库中的用户表中。可以在用户表中新建一个字段来存储Token信息。 3. 将Token返回给客户端:在生成Token并存储到数据库后,将Token返回给客户端。可以通过将Token作为响应的一部分以JSON格式返回给客户端。 4. 客户端存储Token:客户端在收到Token后,可以将其存储到Cookie或者本地存储中。这样可以在之后的请求中将Token作为认证凭证发送给服务器。 5. 验证Token:在每次请求中,服务器需要验证客户端发送过来的Token的有效性。可以通过查询数据库,检查Token是否存在且匹配用户信息。 6. Token过期处理:可以通过设置Token的有效期或者设置定期过期机制来处理过期Token。当Token过期时,需要重新生成Token并更新用户表中的Token字段。 7. 注销Token:在用户注销或者退出登录时,应该将Token从客户端和服务器端同时删除。可以通过清除Cookie或者删除本地存储中的Token来实现。 通过以上步骤,可以使用PHP实现Token登录,提高系统的安全性和用户的使用体验。 ### 回答3: 在PHP中实现token登录是一种常见的身份验证机制。Token是一个包含用户信息和签名的字符串,用于验证用户的身份和权限。 实现token登录主要可以分为以下几个步骤: 1. 用户登录:用户使用用户名和密码进行登录,验证成功后生成一个token,并将token存储到服务器端和返回给客户端。 2. Token生成:在服务器端生成一个token,可以使用一些加密技术如HMAC(基于密钥的消息认证码)算法,将用户的信息和一些固定的或随机的字符串组合起来生成一个唯一的token。 3. Token存储:将token存储到服务器端,可以选择将token存储到数据库、缓存中或者直接存储到服务器的内存中。 4. Token验证:当用户进行后续请求时,将token作为参数或者HTTP头部的一部分发送到服务器,服务器端接收到token后,进行验证。验证可以通过比较接收到的token与存储的token是否一致,以及检查token的有效期等方式来进行。 5. Token刷新:为避免token的滥用,可以设置token的有效期,并在一定时间后要求用户进行重新验证。当token过期时,用户可以使用存储在客户端的refresh token来刷新token,即生成一个新的token。 通过以上步骤,可以实现token登录的功能,并提供一种安全、高效的身份验证方法,避免了传统的基于会话的认证方式中需要保存用户状态的问题。同时,token登录还具有跨平台、跨语言的特性,使得不同系统之间的身份验证更加简便。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值