JWT验证流程及特点

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量1.3k 收藏 3
点赞数 2
文章标签: node.js jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43418997/article/details/105329945
版权

JWT原理:JWT (JSON Web Token) 是目前最流行的跨域认证解决方案。

验证流程
  • 用户向服务器发送用户名和密码。
  • 服务器验证通过后,生成一个令牌(token)。里面存放着相关数据,比如用户角色、登录时间等。
  • 服务器向用户返回这个令牌(token)。需要用户自己选择某种方式保存起来,一般可以使用
    localStorage、sessionStorage、Cookie 等。
  • 用户随后的每一次请求,需要将令牌(token)通过请求头携带到服务器。请求头字段名由后端指定,一般叫 Authorization。
  • 服务器收到令牌(token),通过解析就能得知用户的身份。
JWT的组成:

在这里插入图片描述
一个JWT实际上就是一个字符串,它由三部分组成:
头部(Header)
载荷(Payload)
签名(signature).

把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

JWT的特点:

1、JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

2、JWT 不加密的情况下,不能将秘密数据写入 JWT。

3、JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

4、JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

5、JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

6、为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

NodeJS 中的 jwt 创建与验证

  1. 实现

    jsonwebtoken的安装引入

    let jwt=require('jsonwebtoken')

    2.生成token令牌

    let token = jwt.sign(payload,secretOrPrivateKey,[options,callback]
)

    ​ payload:json还有username,userid

    ​ secretOrPrivateKey:加密规则,字符串,或者密匙path模块

    ​ options:可选配置项

    ​ callback:成功回调,可选返回制造后的token,也可同步返回

    //例子
app.get("/api/login",(req,res)=>{
  //1.获取username,passwors进行数据库的验证
  //2.生成token令牌
  let token = jwt.sign({
     username:req.query.username
  },"hpp",{
      expiresIn:60//过期时间,按照秒算
  })
  res.send({
     err:0,
     msg:"用户登录成功了..",
     data:"库数据",
     token
  })
})

    3.校验token

    jwt.verify(token, secretOrPublicKey, [options, callback])

    [^token]: 制作后的token
[^secretOrPublicKey]: 解密规则,字符串,或者公钥
[^callback:]: 回调 err 错误信息 decode 成功后的信息

[^options]: expiresIn 过期时间

    //例子
app.get("/api/user",(req,res)=>{ 
    //1.获取客户端传递来的token
    let token=req.query.token || req.body.token || req.headers.token;
    //2.校验token
    jwt.verify(token,"hpp",(err,decode)=>{
        console.log("err",err);
        
        console.log("decode",decode);
        if(err){
            res.send({
                err:1,
                msg:"当前登录失败,token失效了"
            })
        }else{
            //校验成功
            //3.数据返回给前端
            res.send({
                err:0,
                msg:"成功!",
                data:"库数据"
            })
        }
        
    })
})

=========================================================
参考链接:
阮一峰大神 - JSON Web Token 入门教程 link.

青田居
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
什么是 JWT? 如何基于 JWT 进行身份验证
JavaMonsterr的博客
07-08 3468
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 748
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
一文读懂JWT认证含使用教程
最新发布
八戒的博客
05-29 1099
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
JWT验证
weixin_34345753的博客
07-04 1860
理解 JSON Web Token(JWT验证 JSON Web Token认证的操作指南 在本文中,我们将了解JSON Web Token的全部内容。 我们将从JWT的基本概念开始,然后查看其结构,最后创建一个简单的服务器,它将获取一些数据并将其插入到JWT中。 什么是JSON Web Token?为什么我们需要它? JSON Web Token(JWT)是一种安全,紧凑且...
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9315
基于JWT实现简单的用户登陆验证
JWT验证原理
michael1112的专栏
08-22 4996
一、什么是JWT? JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息. JWT是什么样子的结构? JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。  如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信...
SpringBoot集成JWT实现token验证流程
10-15
标题中的“SpringBoot集成JWT实现token验证流程”是指在SpringBoot应用中使用JWT(Json Web Token)技术来实现用户身份验证的过程。JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各...
JWT学习笔记
01-21
作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关处理。在数据...
thinkphp+jwt实现前后端分离
03-15
3. **后续请求**:前端在发送API请求时,将JWT作为Authorization头的一部分发送,后端通过验证JWT来识别用户身份和权限。 4. **权限控制**:JWT中的权限信息可用来决定用户能否访问特定资源。 项目中的文件`.env`和...
jwtvault:高度灵活的库,用于管理和编排JWT工作流程
03-13
智威汤逊高度灵活的库,用于管理和编排JWT工作流程| |去做添加更多示例提高覆盖率特征管理和协调JWT以进行用户登录,注销和续订选项1:DynamicVault(使用动态调度,但所需的样板代码少得多) 选项2:DefaultVault...
详解用JWT对SpringCloud进行认证和鉴权
08-26
在使用JWT进行认证和鉴权时,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。...
jwt
遥是此间桃花庵
10-10 389
文章目录1.JWT是什么2.为什么使用JWT3.JWT的工作原理4. JWT组成5.jwt实现验证: 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3.JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName...
解密JWT:揭秘其独特的特点和优势
Reische的博客
10-16 189
在使用 JWT 进行身份验证时,服务端在用户登录成功后,将用户 ID、用户名等信息加密成为 JWT 并发送给客户端,客户端在接下来的每个请求中都将 JWT 作为认证信息发送给服务端。开发人员可以将 JWT 作为用户认证和授权的机制,从而实现无状态的身份验证和授权。需要传输到客户端:由于 JWT 包含了用户信息和授权信息,因此 JWT 需要传输到客户端,这意味着 JWT 有被攻击者窃取的风险。安全性取决于密钥管理:JWT 的安全性取决于密钥的管理,如果密钥被泄露或者被不当管理,那么 JWT 将会受到攻击。
关于JWT 秘钥信息都正确但是就是提示验证失败原因
u013020402的博客
09-27 3822
摘要:com.auth0.jwt.exceptions.InvalidClaimException: The Claim 'XXX' value doesn't match the required one. 因为开发需求,使用JWT做token插件,然后使用用户ID作为秘钥的一部门用于认证。但是用户的ID是纯数字类型的字符串。JWT开发时发现一个特别的问题,只要用客户的id做jwt认证时就会出现com.auth0.jwt.exceptions.InvalidClaimException: The Cla
JSON Web Token 入门教程
weixin_34067102的博客
07-24 931
2019独角兽企业重金招聘Python工程师标准>>> ...
Nodejs项目中使用token验证,jwt,jsonwebtoken
知无涯
11-09 1万+
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析. 抽空研究了一下nodejs的jwt如何做,下面来记录一下 使用的包是 "jsonwebtoken": "^8.3.0" 包的github地址 主要用到的方法是 生成token jwt.sign() 验证token jwt.verify() ...
Vue项目使用拦截器和JWT验证 完整案例
很多时候犯错都是在不知情的情况下发生的
08-29 575
挺详细的一个案例项目,值得参考! 作者:YXi https://juejin.im/post/6844903959883218951) https://gitee.com/gitee_fanjunyang/Inter_JWT 几乎在所有的项目中都离不开拦截器和登录验证,这是必需的。如果你学会了这个 demo,那么几乎所有网站的登录验证,加载动画就都会了,所以背也要背会 所以本章以一个 demo 为例,来帮助大家理解拦截器和登录验证控制 文章后面有源码,可以下载下来运行一下 先来看看效果:
nodejs 实现 jwt验证
06-08
首先,需要安装jsonwebtoken这个包,可以使用npm进行安装: ``` npm install jsonwebtoken --save ``` 接下来,可以使用如下代码实现JWT验证: ```javascript const jwt = require('jsonwebtoken'); // 定义一个密钥,用于加密和解密JWT const secret = 'my_secret_key'; // 创建一个JWT const token = jwt.sign({ userId: '123456' }, secret, { expiresIn: '1h' }); // 解密JWT jwt.verify(token, secret, (err, decoded) => { if (err) { console.log('JWT验证失败'); } else { console.log(decoded); // { userId: '123456', iat: 1621110414, exp: 1621114014 } } }); ``` 在这个例子中,我们定义了一个密钥`secret`,然后使用`jwt.sign`方法创建了一个JWT,并设置了过期时间为1小时。接着,我们使用`jwt.verify`方法对JWT进行验证,如果验证成功,就可以获得JWT的解密信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值