jwt、restfulapi

已于 2022-06-01 14:59:36 修改
阅读量176 收藏
点赞数
文章标签: restful
于 2021-05-28 19:24:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42454057/article/details/117372341
版权
本文介绍了JWT(JSON Web Token)在前后端分离应用中的使用,包括jsonwebtoken库的安装与加密解密示例,以及RESTful API设计规范,如HTTP动词、状态码和资源操作。重点展示了如何通过JWT实现安全的跨域认证和API操作响应。
摘要由CSDN通过智能技术生成

1、jwt

1.1jwt的介绍

JWT也就是JSON Web Token(JWT),是目前最流行的跨域身份验证解决方案。
JWT的组成:一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature)。

1.2、jsonwebtoken

//安装
npm i -S jsonwebtoken
npm i -S express cors mongoose

加密

const router = require('express').Router()
const jwt = require('jsonwebtoken')
// 设置一个jwt加密和解密时需要的key值
const secretKey = 'afwefjwlefjlwjflewjjfew;jfwe;jfwe;jf;ejf;w'

// 登录成功后,让保持登录者的状态,以前方案使用session,但是现在我们前后端分离,使用jwt

// 接口登录操作
router.post('/login', (req, res) => {
  let {username, password} = req.body
  res.send({
    code: 0,
    msg: 'ok',
    data: {
      // 加密
      token: jwt.sign({
        id: 1,
        username,
        // token过期时间 一般设置时长为2小时,有一些公司1天 1周 1个月
        // exp: Date.now() + 7200 * 1000
      }, secretKey)
    }
  })
})

解密

router.get('/users', (req, res) => {
  const token = req.headers['token']
  res.send({
    code: 0,
    msg: 'ok',
    data: {
      id: 1,
      name: '张三',
      token: jwt.verify(token, secretKey)
    }
  })
})

2、restfulapi

2.1、规范

①、协议:API与用户的通信协议,总是使用http或https协议。
②、域名:应该尽量将API部署在专用域名之下,例:http://api.demo.com
③、版本:应该将API的版本号放入URL,方便和直观,例http://api.demo.com/v1
④、路径
在RESTful架构中,每个网址代表一种资源(resource),所以网址中不能有动词,只能有名词。例:https://api.example.com/v1/users
⑤、HTTP动词
对于资源的具体操作类型,由HTTP动词表示

GETSELECT):从服务器取出资源(一项或多项)。
POSTCREATE):在服务器新建一个资源。
PUT/patch(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)。
DELETEDELETE):从服务器删除资源。
例下面的方式来操作和获取数据
GET /zoos:列出所有动物园
GET /zoos/ID:获取某个指定动物园的信息
POST /zoos:新建一个动物园
PUT /zoos/ID:更新某个指定动物园的信息(提供该动物园的全部信息)
DELETE /zoos/ID:删除某个动物园


//常用状态码
200 OK - [GET]:服务器成功返回用户请求的数据,该操作是幂等的(Idempotent)。
201 CREATED - [POST/PUT/PATCH]:用户新建或修改数据成功。
202 Accepted - [*]:表示一个请求已经进入后台排队(异步任务)
204 NO CONTENT - [DELETE]:用户删除数据成功。
400 INVALID REQUEST - [POST/PUT/PATCH]:用户发出的请求有错误,服务器没有进行新建或修改数据的操作,该操作是幂等的。
401 Unauthorized - [*]:表示用户没有权限(令牌、用户名、密码错误)。
403 Forbidden - [*] 表示用户得到授权(与401错误相对),但是访问是被禁止的。
404 NOT FOUND - [*]:用户发出的请求针对的是不存在的记录,服务器没有进行操作,该操作是幂等的。
406 Not Acceptable - [GET]:用户请求的格式不可得(比如用户请求JSON格式,但是只有XML格式)。
410 Gone -[GET]:用户请求的资源被永久删除,且不会再得到的。
422 Unprocesable entity - [POST/PUT/PATCH] 当创建一个对象时,发生一个验证错误。
500 INTERNAL SERVER ERROR - [*]:服务器发生错误,用户将无法判断发出的请求是否成功。

//返回结果
GET /collection:返回资源对象的列表数组
GET /collection/resource:返回单个资源对象
POST /collection:返回新生成的资源对象
PUT /collection/resource:返回完整的资源对象
DELETE /collection/resource:返回一个空文档
recol1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
RESTful APi 登陆权限、node.js、用户状态控制之JWT(Json web Token)
Harry_一棵树的博客
03-05 3146
http协议是无状态的,所有用户进行多次请求,服务器都不会知道这些请求是谁请求的,以前我可以使用session记录客户端登陆的用户信息,然后让客户端保存用户的cookie,然后客户端每次请求带上cookie,这样服务端就可以识别。JWT其实就是基于token的鉴权机制: 1.首先客户端使用用户名密码来通过api请求服务器 2.服务器进行验证用户的信息,发送给客户端一个token ...
jwt配置 restful_SpringBoot实现JWT保护前后端分离RESTful API
weixin_29615645的博客
01-14 186
本文将用不到100行Java代码, 教你如何在Spring Boot里面用JWT保护RESTful api.登录前登录之后即可得到正确结果登陆后1. 什么是JWT了解JWT的同学可以跳过这一部分废话少说, 我们先看看什么是JWT. JSON Web Token其实就是一个包含认证数据的JSON, 大概长这样子分三个部分,第一部分{"alg":"HS512"}是签名算法第二部分{"exp":149...
jwt配置 restful_在restful api模式上使用JWT
weixin_42546508的博客
01-14 266
什么是JWTJWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。现在,许多项目模式基本都是前端分离和restful api模式。 因此,传统的session模式无法满足认证要求,这时就出现了jwt。 可以说...
使用 JWT 让你的 RESTful API 更安全
倔强的蜗牛
08-29 5万+
传统的 cookie-session 机制可以保证的接口安全,在没有通过认证的情况下会跳转至登入界面或者调用失败。 在如今 RESTful 化的 API 接口下,cookie-session 已经不能很好发挥其余热保护好你的 API 。 更多的形式下采用的基于 Token 的验证机制,JWT 本质的也是一种 Token,但是其中又有些许不同。 什么是 JWTJWT 及时 JSON W
Spring Boot+Spring Security+JWT 实现 RESTful Api 权限控制
zalan01408980的博客
06-06 1733
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <groupId&...
spring security+jwt 实现 restful api格式.
09-20
在本案例中,我们将探讨如何利用Spring Security集成JWT来实现RESTful API的认证与授权。首先,我们需要了解RESTful API的基本原则,即通过HTTP方法(如GET、POST、PUT、DELETE等)和资源URL来操作数据。 1. **JPA...
RestFul API 案例
07-31
RESTful API通常通过OAuth 2.0或JWT(JSON Web Tokens)进行认证和授权,确保只有经过验证的客户端才能访问资源。 9. **错误处理** 错误信息应该清晰且易于理解,通常通过HTTP状态码和JSON格式的错误对象返回。 ...
RestfulApi服务端.zip
02-27
本项目提供了一个RestfulApi服务端的示例,帮助开发者了解如何构建这样的服务。 在RestfulApi服务端的实现中,通常会用到以下技术栈: 1. **服务器框架**:如Spring Boot或Express.js,它们为快速构建RESTful API...
RestfulAPI开发示例
11-22
7. 安全性:RESTful API通常使用OAuth、JWT(Json Web Tokens)进行身份验证和授权。这些机制可以保护API免受未经授权的访问。 8. 错误处理:良好的错误处理包括返回清晰的错误信息和合适的HTTP状态码,帮助调用者...
RESTful API 设计最佳实践
03-20
9. **安全性**:API的安全性不容忽视,可以采用OAuth、JWT(JSON Web Tokens)或其他身份验证机制保护API免受未经授权的访问。 10. **文档**:良好的API文档是关键,它应详尽地描述每个端点、参数、预期的响应格式...
Restful API 使用 JWT 安全验证
dream_heheda的博客
06-19 547
import org.springframework.util.DigestUtils; import org.springframework.web.servlet.handler.HandlerInterceptorAdapter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSer...
RESTful登录(基于token鉴权)的设计实例
lucasma的博客
04-06 6万+
使用场景 现在很多基于restfulapi接口都有个登录的设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西。申请成功后,后面其他的支付请求都要带上这个token,服务端通过这个token验证请求的合法性。这个token通常都有一个有效期,一般就是几个小时。 比如我之前接入过一个支付宝和微信支付的通道,他们提供的api就要求先登录获取token然后才能使用...
RESTful API使用JWT做无状态的身份认证
云中采薇
12-30 7713
JWT设计RESTful架构的前后端,天然要求API是无状态的,JWT(JSON Web Token)简单易用,适合在分布式系统中做API无状态的身份认证。jwt由Header、Payload、Signature三部分组成,使用 . 分割开,一个JWT形式:Header.Payload.Signature这三部分分别对应的是加密算法、携带的用户信息、加密后的字符串(签名)。jwt自带签名,能够防止伪
使用jwt实现restful接口用户验证
Technology exist forever
12-27 4823
基于restful进行前后端分离的项目由于是基于json进行数据传输,前端既可以是web、android也可以是IOS,但是这样就产生了一个问题,http协议是无状态的,restful也是无状态的,用户状态信息该如何保存?restful接口的用户认证有几种方案:1.使用session+cookie进行用户认证。 2.使用token进行认证,如果用户登陆成功,则通过某种规则(比如userName+t
Restful API 状态管理:JWT
呼吸吐纳的博客
03-19 1229
Restful API Restful讲究一个无状态的特性(stateless),这就不能把一些例如登陆后的认证信息写进cookie的传统方式,目前探索的是采用token的方式来进行权限的识别。 JWT JWT 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; jwt Token 是一串base64之后的代码 具体分为三部分: ...
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
使用JWT Token进行RestFul API权限验证
a1203177935的博客
07-01 6276
问题 后端提供的RestFul API一般都需要进行权限验证,而Web框架一般采用Cookies+Session来进行认证。但RestFul API属于无状态协议,而在后台使用Session的话,由于Session本身需要服务端进行维持,这样就破坏了Rest的无状态性。 解决方案 抛弃Cookie+Session的认证架构,选用Token作为认证手段。在登录验证时,后台收集账号信息、IP、访...
RESTful 规范和Postman调试
weixin_45310832的博客
04-27 330
RESTful 规范和Postman调试什么是RESTfulHTTP协议HTTP协议——URLHTTP协议——请求HTTP协议——响应SOAP和REST的区别如何设计RESTFul风格API(动物园为例)REST风格的接口测试流程如何编写功能测试计划如何使用Postman验证测试用例 什么是RESTful RESTful的本质是一种软件架构风格,核心是面向资源设置API。作用是降低开发的复杂性,提...
restful api接口 jwt
最新发布
06-07
好的,你的第一个问题是关于 RESTful API 接口和 JWT 的。RESTful API 是一种设计风格,用于创建可伸缩的网络应用程序。而 JWT(JSON Web Token)是一种用于在网络应用程序之间传递信息的安全方式。通常,RESTful ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值