Token验证—JWT方法

最新推荐文章于 2024-08-30 12:06:35 发布
最新推荐文章于 2024-08-30 12:06:35 发布
阅读量3k 收藏 13
点赞数 2
分类专栏: 前端学习 文章标签: jwt token session 接口 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43648017/article/details/111464021
版权
本文介绍了基于Token的JWT身份验证方法,详细阐述了JWT的Header、Payload和Signature三部分,以及如何在Node.js项目中签发、验证和使用JWT。通过实例展示了创建JWT、验证JWT的步骤,并提供了相关代码示例。
摘要由CSDN通过智能技术生成
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

JWT验证

JWT,读作:jot ,表示:JSON Web Tokens

JWT 标准的 Token 有三个部分:

  • header(头部)
  • payload(数据)
  • signature(签名)

中间用点分隔开,并且都会使用 Base64 编码,所以真正的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

每个 JWT token 里面都有一个 header,也就是头部数据。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。主要就是说明一下怎么处理这个 JWT token 。

唯一在头部里面要包含的是 alg 这个属性,如果是加密的 JWT,这个属性的值就是使用的签名或者解密用的算法。如果是未加密的 JWT,这个属性的值要设置成 none

eg:

{
   
  "alg": "HS256"
}

意思是这个 JWT 用的算法是 HS256,在base64url编码之后变成

eyJhbGciOiJIUzI1NiJ9

Payload

Payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。

  • iss:Issuer,发行者
  • sub:Subject,主题
  • aud:Audience,观众
  • exp:Expiration time,过期时间
  • nbf:Not before
  • iat:Issued at,发行时间
  • jti:JWT ID

两个自定义的字段,一个是 name ,还有一个是 admin

{
   
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 base64url 编码以后就变成了这个样子:

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最后一部分是 Signature ,这部分内容有三个部分,先是用 Base64 编码的header.payload,再用加密算法加密一下,加密的时候要放进去一个 Secret ,这个相当于是一个密码,这个密码秘密地存储在服务端。

组成结构是这样子:

  • header
  • payload
  • secret
const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

处理完成以后看起来像这样:

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成并且要发送给客户端的 Token 看起来像这样:(由以上三部分组成)

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.
最低0.47元/天 解锁文章
你觉得这样嘿怕吗
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
前后端交互 -- jwt 鉴权
CSDN_GMC的博客
04-15 991
jwt 鉴权一. jwt 鉴权基本概念四个核心点: 1.签发 2.token存取 3.头部携带 4.验证头部二. 签发 生成token2.1. 使用 jsonwebtoken 模块2.2. jwt.sign({ } , " " ,{ } )中的三个参数三. token 的组成、存储与获取3.1. token的组成3.2. 存储token3.3. 获取token四. 请求token头部携带,前端的认...
JWT认证方式的实现
白鹭立雪的博客
04-06 2358
JWT全称Json Web Token, 是当今较为流行的一种认证方式。相比于传统的session认证方式,jwt在设计之初便强调“无状态”,即服务端不会存储任何的认证信息,只扮演一个签发令牌的角色。 本文着重阐述一下具体的实现方法。 基本流程 1,首先在服务器收到登录的请求时,会检查请求头中是否含有令牌(显而易见的是,首次登录必然没有)。服务器会在验证账号密码都通过的情况下,生成一个token(...
JWT+TOKEN校验
最新发布
weixin_41925271的博客
08-30 487
配置拦截器 InterceptorConfig。自定义拦截器 JwtInterceptor。自定义注解 AuthAccess。工具类 TokenUtils。pom JWT 依赖。
基于jwt的用户登录认证
weixin_34179762的博客
06-18 858
最近在app的开发过程中,做了一个基于token的用户登录认证,使用vue+node+mongoDB进行的开发,前来总结一下。 token认证流程: 1:用户输入用户名和密码,进行登录操作,发送登录信息到服务器端。 2:服务器端查询数据库验证用户名密码是否正确,正确,通过jsonwebtoken生成token,返回给客户端;否则返回错误信息给客户端。 3:通过本地存储存储获取的token信...
JWT数字签名与token实现
Cheney的博客
06-28 2879
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。什么时候你应该用JSON Web Token?Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
jwt鉴权
weixin_46146313的博客
04-17 1258
总体思路 token两个作用 1鉴权(鉴定是否有这个权限) 2.进行简单的数据交互 客户端登录—> 成功(服务器接收数据) —>服务器根据密钥生成token(2出明文和一处密钥)像一个门票—>发送客户端 token —>客户端储存; 客户端再次登录时获取到储存的token —> 请求头部携带token —>发送到服务器 服务端—> 验证通过—> 返回...
JWT(详解)
weixin_44736637的博客
04-07 3万+
JWT
JWT Token生成及验证
07-16
签名用于验证JWT未被篡改。 2. **签名生成**:签名是通过将头部和载荷进行Base64Url编码后,使用一个密钥(secret key)和指定的签名算法(如HMAC SHA256)进行计算得到的。这个过程确保了JWT的完整性和不可篡改性...
koa+jwt实现token验证与刷新功能
10-16
此外,还需要`jsonwebtoken`来生成和验证JWT,可以通过`npm install jsonwebtoken`安装。 ### 使用Koa2和JWT实现验证 在Koa2中,可以使用`koa-jwt`中间件来控制哪些路由需要JWT验证。以下是一个示例: ```...
【SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
JWT登录认证
qq_41283785的博客
07-30 353
header由两部分组成: token的类型 jwt 和算法名称: HMAC、SHA256、RSA。客户端收到服务端返回的JWT, 可以存储在Cookie里面,也可以存储在localStorage。一个jwt是一个字符串, 它由三部分组成: 头部、载荷、签名,中间用.分开。Payload 是一个JSON对象,存放传递的数据。除了默认的七个字段,还可以添加自己想要的任何字段。把JWT保存在cookie里面发送请求, 不能跨域。签名部分 对头部、载荷两部分数据进行的数据签名。签名/ signature。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
在Express中使用JWT的操作与报错问题
weixin_62889848的博客
03-15 1098
为了保证JWT字符串的安全性,防止JWT字符串在网络传输过程中被人破解,需要定义一个用于加密和解密的secret当生成JWT字符串的时候,需要使用secret密钥对用户的信息进行加密,最终得到加密好的JWT字符串当把JWT字符串解析还原成JSON对象的时候,需要使用secret密钥进行解密//secret 密钥的本质: 一个字符串 const secretKey = 'secretkey!!!
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 3021
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web TokenJWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
在springBoot中使用JWT实现1.生成token,2.接收前端token进行身份认证,3.通过token获取对象信息
weixin_48122970的博客
08-06 4427
在Spring MVC的配置中,可以通过实现WebMvcConfigurer接口的addInterceptors方法来注册自定义的HandlerInterceptor。通过使用HandlerInterceptor,我们可以实现一些与请求和响应相关的公共逻辑和功能,如身份验证、日志记录、参数解析、跨域处理等。拦截器提供了一种灵活的方式来对请求进行拦截和处理,帮助开发人员实现系统层面的功能和逻辑。
Token的使用
m0_50846834的博客
11-11 4578
springboot+vue实现前后端分离中token的使用
在node.js中配置Token验证的两种方式
抗争小青年的博客
08-12 3223
这里的rule就是上面所说的校验规则,key.secretOrkey就是加密名字,只不过封装到了外部,expiresIn:3600,就说明是3600秒,msg返回的就是生成的Token。里的方法,同时jwt_jpayload会输出结果,得到结果后,我们在用id在User表中查询数据,然后通过req.user(数据库表名)拿到。这个方法中的User.findOne方法可以删除,写上自己的业务逻辑,我用的是mysql,所以没有用User.findeOne方法。注意,生成的token应该带有统一的格式。...
Spring Boot整合JWT框架以高效处理Token验证
资源摘要信息: "Spring Boot整合JWT框架,解决Token验证问题" ### 知识点概述: #### 1. Spring Boot框架基础 - **Spring Boot核心特性**:Spring Boot提供了快速开发的能力,可以轻松创建独立的、生产级别的基于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值