开源高效的身份验证方案:教你使用JWT认证机制加强Web应用安全

已于 2023-05-21 09:41:11 修改
阅读量1.9k 收藏 11
点赞数 3
分类专栏: Node.js 文章标签: 服务器 运维
于 2022-09-22 14:29:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/126990129
版权

1、什么是 JWT

JWT(英文全称:JSON Web Token)是目前最流行跨域认证解决方案。

2.JWT 的工作原理

 总结:用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。

 3、JWT 的组成部分

介绍: 

JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效荷载)、Signature(签名)。 三者之间使用英文的“.”分隔,格式如下: 

Header.Payload.Signature

下面是 JWT 字符串的示例:

 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTIsInVzZXJuYW1lIjoid3pqIiwicGFzc3dvcmQiOiIiLCJuaWNrbmFtZSI6Iuato-e7j-S6uiIsImVtYWlsIjoiMTI4NDUwMzI5OUBxcS5jb20iLCJ1c2VyX3BpYyI6IiIsInJvbGVfaWQiOjEsInJvbGVfbmFtZSI6Iui2hee6p-euoeeQhuWRmCIsImlzX2VuYWJsZWQiOjAsImlhdCI6MTY2Mjg4OTEzNywiZXhwIjoxNjYyOTI1MTM3fQ.D1MRl0v18cP-QlgAWxZO9-cwnNNQH-y-Db2ezAapfps

JWT 的三个部分各自代表的含义

JWT 的三个组成部分,从前到后分别是 Header、Payload、Signature。

其中: 

  • Payload 部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。  
  • Header 和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性。

 4、JWT 的使用方式

介绍: 

客户端收到服务器返回的 JWT 之后,通常会将它储存在 localStoragesessionStorage 中。

此后,客户端每次与服务器通信,都要带上这个 JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中,格式如下:

Authorization:Bearer  Token

1.安装 JWT 相关的包

npm  i jsonwebtoken express-jwt

其中:

  • jsonwebtoken 用于生成 JWT 字符串(也就是 token )
  • express-jwt 用于将 JWT 字符串解析还原成 JSON 对象

2. 导入 JWT 相关的包 

使用 require() 函数,分别导入 JWT 相关的两个包:

// 1.导入用与生成 JWT 字符串的包
const jwt = require('jsonwebtoken')
// 2.导入用于将客户端发送过来的 JWT 字符串,解析还原成 JSON 对象的包
const expressJWT = require('express-jwt')

3. 定义 secret 密钥

为了保证 JWT 字符串的安全性,防止 JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密解密的 secret 密钥:

  1. 当生成 JWT 字符串的时候,需要使用 secret 密钥对用户的信息进行加密,最终得到加密好的 JWT 字符串
  2. 当把 JWT 字符串解析还原成 JSON 对象的时候,需要使用 secret 密钥进行解密
// secret 秘钥本质,就是一个字符串

const secretKey = 'itheima No ^_^'

 4.在登录成功后生成 JWT 字符串

调用 jsonwebtoken 包提供的 sign() 方法,将用户的信息加密成 JWT 字符串,响应给客户端:

// secret 秘钥本质,就是一个字符串
const secretKey = 'itheima No ^_^'

app.post('/api/login', (req, res) => {
  // 判断用户提交的登录信息是否正确
  if (req.body.username !== 'adnin' || req.body.password !== '000000') {
    return res.send({ status: 1, msg: '登录失败' })
  }
  res.send({
    status: 0,
    msg: '登录成功',
    // 调用 jwt.sign() 生成 JWT 字符串,三个参数分别是:用户信息对象。加密秘钥、配置对象
    token: jwt.sign({ username: req.body.username, password: req.body.password }, secretKey, { expiresIn: '30s' })
  })
})

5. 将 JWT 字符串还原为 JSON 对象

客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的 Authorization 字段,将 Token 字符串发送到服务器进行身份认证。

此时,服务器可以通过 express-jwt 这个中间件,自动将客户端发送过来的 Token 解析还原成 JSON 对象:

/* 使用app.use() 用来注册中间件
expressJWT({ secret: secretKey }) 就是用来解析 Token 的中间件
.unless({ path: [/^\/api\//] }) 用来指定那些接口不需要访问权限(简单理解就是不需要传Token)
   注意:只要配置成功了 express-jwt 这个中间件,就可以把解析出来的用户信息,
挂载到 req.user 属性上 */

app.use(expressJWT({ secret: config.jwtSecretKey }).unless({ path: [/^\/api\//] }))

 完整代码:

// 导入 express 模块
const express = require('express')
// 创建 express 的服务器实例
const app = express()

// TODO_01:安装并导入 JWT 相关的两个包,分别是 jsonwebtoken 和 express-jwt ,npm  i jsonwebtoken express-jwt
// 1.导入用与生成 JWT 字符串的包
const jwt = require('jsonwebtoken')
// 2.导入用于将客户端发送过来的 JWT 字符串,解析还原成 JSON 对象的包
const expressJWT = require('express-jwt')

// 允许跨域资源共享
const cors = require('cors')
app.use(cors())

// 解析 post 表单数据的中间件
const bodyParser = require('body-parser')

app.use(bodyParser.urlencoded({ extended: false }))

// TODO_02:定义 secret 密钥,建议将密钥命名为 secretKey
const secretKey = 'itheima No ^_^'

// TODO_04:注册将 JWT 字符串解析还原成 JSON 对象的中间件
// 使用app.use() 用来注册中间件
// expressJWT({ secret: secretKey }) 就是用来解析 Token 的中间件
// .unless({ path: [/^\/api\//] }) 用来指定那些接口不需要访问权限
// 注意:只要配置成功了 express-jwt 这个中间件,就可以把解析出来的用户信息,
// 挂载到 req.user 属性上
app.use(expressJWT({ secret: secretKey }).unless({ path: [/^\/api\//] }))
// expressJWT({secret: secretKey, algorithms: ['HS256']})
// 登录接口
app.post('/api/login', function (req, res) {
  // 将 req.body 请求体中的数据,转存为 userinfo 常量
  const userinfo = req.body
  // 登录失败
  if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
    return res.send({
      status: 400,
      message: '登录失败!',
      data: userinfo
    })
  }
  // 登录成功  
  // TODO_03:在登录成功之后,调用 jwt.sign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端
  res.send({
    status: 200,
    message: '登录成功!',
    // 参数1:用户的信息对象
    // 参数2:加密的秘钥
    // 参数3:配置对象,可以配置当前 token 的有效期
    // 记住:千万不要把密码加密到 token 字符中
    token: jwt.sign({ username: req.body.username }, secretKey, { expiresIn: '300s' }) // 要发送给客户端的 token 字符串
  })
})

// 这是一个有权限的 API 接口
// 客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的 Authorization 字段,
// 将 Token 字符串发送到服务器进行身份认证。
// 例如:Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaWF0IjoxNjYxNzY4NjIxLCJleHAiOjE2NjE3Njg2NTF9.7uEDhiNtkdFNdAENrsKPIhzBXMJIIWMjmB9T95fl_Es
app.get('/admin/getinfo', function (req, res) {
  // TODO_05:使用 req.user 获取用户信息,并使用 data 属性将用户信息发送给客户端
  // 当 express-jwt 这个中间件配置成功之后,即可在那些有权限的接口中,使用 req.user 对象,
  // 来访问从 JWT 字符串
  // 中解析出来的用户信息了,示例代码
  res.send({
    status: 200,
    message: '获取用户信息成功!',
    data: req.user // 要发送给客户端的用户信息
  })
})

// TODO_06:使用全局错误处理中间件,捕获解析 JWT 失败后产生的错误
app.use((err, req, res, next) => {
  // token 解析失败导致的错误
  if (err.name === 'UnauthorizedError') {
    return res.send({ status: 401, message: '无效的token' })
  }
  // 其它原因导致的错误
  res.send({ status: 500, message: '未知错误' })
})

// 调用 app.listen 方法,指定端口号并启动web服务器
app.listen(8888, function () {
  console.log('Express server running at http://127.0.0.1:8888')
})

狗蛋的博客之旅
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jwt
qq_43697072的博客
04-23 1245
jwt是jsonwebtoken的简称,用来生成token。在登陆状态验证完成时发送给前台一个token,之后前台的请求都要带着token,后台验证其token的正确性及有效性之后才会回应其数据,在用户和服务器端之间安全的传递消息。 jwt实际是一个字符串,由三部分组成,头部,数据和签名。 生成token const jwt = require('jsonwebtoken') 我们在页面引入jso...
wp-api-jwt-auth, 添加 JSON Web令牌( JWT ) 认证到 WP REST API的简单插件.zip
09-18
wp-api-jwt-auth, 添加 JSON Web令牌( JWT ) 认证到 WP REST API的简单插件 REST API的JWT身份验证添加 JSON令牌( JWT ) 认证到 REST API的简单插件。要了解有关JSON网络令牌的更多信息,请访问 http://jwt.io 。要求 REST API V2这个插件被设想扩展 W
Java JWT:适用于Java和Android的JSON Web令牌-Android开发
05-26
Java JWT:适用于Java和Android的JSON Web令牌JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是纯Java实现的专有Java JWT:Java和Android的JSON Web令牌JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是完全基于JWT,JWS,JWE,JWK和JWA RFC规范以及Apache 2.0许可条款下的开源的纯Java实现。 该图书馆由Okta的高级建筑师Les Hazlewood创建,并由贡献者社区提供支持和维护。 Okta是一个完整的身份验证
jwt可以作为请求的authorization的token吗
最新发布
m0_57236802的博客
03-17 382
是的,JWT(JSON Web Tokens)非常适合用作请求的头部中的令牌。实际上,这是 JWT 最常见的使用场景之一。使用 JWT 作为授权令牌可以让服务器验证请求者的身份,并确认他们是否有权限执行特定的操作,而无需每次请求都查询数据库或执行复杂的身份验证逻辑。
Cantiin:具有MIT许可证的电子商务项目。 使用Python,Flask,API,SQLAlchemy ORM,JWT身份验证和JavaScript
02-07
花青素 关于 这是一个电子商务MIT开源项目 这是一个网站 电子商务 查看Cantiin.com: 您可以自己查看和测试面包。 已部署。 正在运行Cantiin: 在Github上的此链接中,您可以了解如何启动和运行cantiin。 使用Docker: 在Github上的此链接中,您可以看到如何使用cantiin和docker。 最新稳定版本: 我已经发布了稳定的Cantiin。 您可以查看canttin版本的列表,并从Github上的此链接下载它们: 目的 该项目的目的是证明我是一名Web开发人员。 二手技术: 在该项目中使用了以下技术: 前端技术: HTML CSS JavaScript 引导程序 JSON (JavaScript对象表示法) AJAX 金佳 后端技术: Python SQLite的 SqlAlchemy(ORM) 烧瓶 烧瓶CORS
AspNetCore.Authentication.ApiToken:一个asp.net核心webapi令牌认证和生成器开源
05-30
AspNetCore.Authentication.ApiToken 英文 | AspNetCore.Authentication.ApiToken 是 ASP.NET Core 的身份验证组件,遵循 ASP.NET Core 身份验证框架的设计规范。 主要用于WebApi项目中,提供Token的发行和验证能力。 该组件下发的Token不是Json Web Token(JWT),类似于IdentityServer4中的Reference Token,需要在服务器端查询验证有效性。 如果你的项目中需要IdentityServer4中的Reference Token,那么中大型项目推荐使用IdentityServer4。 如果是中小型项目,那么可以考虑AspNetCore.Authentication.ApiToken,比IdentityServer4更便携。 维护成本更低。 这个Toke
jwt-auth:Laravel 和 Lumen 的 JSON 网络令牌认证-开源
06-22
jwt-auth 使用 JSON Web Tokens(规范)在 Laravel 中提供了一种简单的身份验证方法。 有多种方法可以在包中创建令牌。 有一些简单的方法可以做到,如果您想要更好的控制,还有更高级的方法。 创建令牌的最常见方法是通过用户的登录凭据对用户进行身份验证,如果成功,则返回与该用户对应的令牌。 您还可以跳过用户身份验证并只传入 User 对象。 一旦用户使用他们的凭据登录,下一步就是使用令牌发出后续请求,以检索用户的详细信息,以便您可以将他们显示为已登录。通过 http 发出经过身份验证的请求,使用对于内置方法,您需要设置授权标头。 如果您不喜欢内联捕获多个异常的想法,那么您可以自由地使用 Laravel 添加一个全局异常处理程序。
JWT--Token(令牌)验证
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证的token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
前后端分离之JWT用户认证
llf_cloud的博客
08-06 1186
在前后端分离开发时为什么需要用户认证呢?原因是由于 HTTP 协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个 request 请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。 传统方式 前后端分离通过 Restful API 进行数据交互时,如何验证用户的登录信息及权限。在原来的项目中,使用的是最传统也是最简单的方式,前端登录,后端根据用户信息生成一个token,并保存这个 to
node使用 express jwt 实现token登录验证
weixin_53510183的博客
04-17 2万+
node使用 express jwt 实现token登录验证
关于jwt.sign没有返回值的问题
qq_60602244的博客
04-21 441
jwt.sign没有生成token没有返回值。
vue-auth-jwt:与JWT后端通信时用于处理前端身份验证开源Vue库
03-14
Vue Auth JWT Vue Auth JWT是一个轻量级的库,用于将您的Vue应用程序与JWT(JSON Web令牌)驱动的身份验证后端进行通信。 它提供了简单的Vuex函数,这些函数应用了正确的凭据和请求样式,可以轻松地在标头中添加JWT访问令牌,并在适当时刷新它们。 要求 –工作正常的Vue.js应用程序(包括Vue框架,例如Nuxt或Quasar)–工作正常的JWT后端,例如Django Simple JWT –已安装的Vuex存储 安装 要安装Vue Auth JWT,请先将其添加到您的项目中 npm install vue-auth-jwt 或者 yarn add vue-auth-jwt 在启动Vuex存储的文件中,添加以下入口点代码: import Auth from 'vue-auth-jwt' const auth = Auth ( { API_URL
jjwt:Java JWT:Java和Android的JSON Web令牌
02-03
Java JWT:适用于Java和Android的JSON Web令牌 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT)。 JJWT是一个纯Java实现,完全基于 , , , 和 RFC规范,并根据的条款开源。 该图书馆由高级建筑师创建,并由贡献者提供支持和维护。 是面向开发人员的完整身份验证和用户管理API。 我们还添加了一些不属于该规范的便利扩展,例如JWS压缩和声明执行。 目录 产品特点 在所有JDK和Android上均具有完整功能 自动安全最佳做法和断言 易于学习和阅读的API 方便易读的界面,非常适合IDE自动
lumen-auth:使用JWT进行流明简单身份验证
03-16
流明PHP框架 Laravel Lumen是一个惊人的快速PHP微框架,用于使用具有表现力的优雅语法构建Web应用程序。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Lumen试图通过减轻大多数Web项目中...
JWT(详解)
热门推荐
weixin_44736637的博客
04-07 3万+
JWT
jwt实现注册与登陆系统
张致豪
08-01 5214
前言 自己用react+koa实现了一个包含登陆和注册功能的网址,在这里记录一下实现过程 项目地址: 预览地址: 注册 注册其实没什么好说的,就是要注意不要明文保存密码,否则数据库泄露后,密码会被其他人用来撞库使用。 前台加密主要是为了防止post请求明文传递密码,本来我想在前端加密,然后数据库直接保存加密的密码到数据库,登陆时传递加密后的密码进行登陆,但是前端使用的加密工具加密同一个密码每次都...
JWT数字签名与token实现
Cheney的博客
06-28 2099
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。什么时候你应该用JSON Web Token?Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用
Token验证—JWT方法
大三了啊
12-20 2972
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求
jwt 认证机制
Cat_LIKE_Mouse的博客
05-23 730
jst 通常有三个部分组成,分别是header(头部)、payload(有效载荷)、signatrue(签名) 三者之间用逗号隔开: Header.Payload.Signatrue payload 才是真正的用户信息部分,他是加密后的字符串 header、signatrue 是安全性相关部分 安装: npm install jsonwebtoken express-jwt jsonwebtoken 用于生成 jwt 字符串 express-jwt 用于将jwt字符串解析还原成 jso.
emqx jwt认证
09-06
EMQ X 是一个开源的物联网 MQTT 消息代理服务器,它支持多种认证方式,包括 JWT(JSON Web Token)认证使用 JWT 认证,可以通过在 MQTT 客户端连接时提供有效的 JWT 来进行身份验证。以下是使用 EMQ X 进行 JWT 认证的基本步骤: 1. 生成 JWT 密钥对:首先,你需要生成一个密钥对,其中包括公钥和私钥。通常,你可以使用 OpenSSL 或其他工具生成密钥对。 2. 配置 EMQ X:在 EMQ X 的配置文件中,你需要指定 JWT 认证的相关参数。在 emqx.conf 文件中,你可以找到 auth.jwt 部分,其中包括以下参数: - jwt_secret:用于验证和签名 JWT 的密钥。这应该是你在第一步中生成的私钥。 - jwt_issuer:JWT 的发行者(issuer)标识符。 - jwt_validity:JWT 的有效期限,以秒为单位。 3. 编写认证插件:你可以使用 EMQ X 提供的认证插件机制来实现自定义的 JWT 认证逻辑。你可以编写一个 Erlang 插件,并将其配置为 EMQ X 的插件目录。 4. 配置 ACL:在 EMQ X 中,你可以使用 ACL(访问控制列表)来定义用户的访问权限。你可以根据需要配置 ACL 规则,以控制哪些用户可以访问特定的主题。 这只是一个简要的介绍,实际操作可能会更加复杂,具体实现步骤和细节可以参考 EMQ X 的官方文档和示例代码。希望这些信息对你有帮助!如果你还有其他问题,可以继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值