基于JWT的身份认证

已于 2022-10-08 11:06:30 修改
阅读量71 收藏
点赞数
分类专栏: Node.js 文章标签: 开发语言 前端 node.js
于 2022-10-08 10:46:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44437620/article/details/127203252
版权

版权声明

JWT(JSON Web Token)是目前最流行的跨域认证解决方案

在这里插入图片描述

JWT工具网:https://jwt.io/

1. 跨域认证流程

在这里插入图片描述

2. JWT原理

在这里插入图片描述

3. JWT数据结构

实际的JWT是一个很长的字符串,中间用点(.)分隔成三个部分。
JWT的三个部分:Header(头部) Payload(负载).Signature(签名)
写成一行,就是这个样子:

Header.Payload.Signature

示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Header

Header部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。

{
	"alg":"123456",
	"typ":"JWT"
}

上面的代码中,alg属性表示签名的算法(algorithm),默认是HMAC SHA256(写成HS256);typ属性表示这个令牌(token)的类型(type),JWT令牌统一写为JWT。

最后,将上面的JSON对象使用Base64URL算法转成字符串。

Payload

Payload部分也是一个JSON对象,用来存放实际需要传递的数据。JWT规定了7个官方字段

  1. iss(issuer): 签发人
  2. exp(expiration time):过期时间
  3. sub(subject):主题
  4. aud(audience): 受众
  5. nbf(Not Before): 生效时间
  6. iat(Issued At): 签发时间
  7. iti(JWT ID):编号

除了官方字段,也可以自定义私有字段。

{
	"sub":"1234567890",
	"name":"John Doe",
	"admin":true
}

注意:JWT默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个JSON对象也要使用Base64URL算法转成字符串。

Signature

Signature部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret),这个密钥只有服务器才知道,不能泄露给用户。然后,使用Header里面指定的签名算法(默认是HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
	base64UrlEncode(header) + "." + base64UrlEncode(payload),secret
)

算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用“点”(.)分隔,就可以返回给用户。

在JWT中,消息体是透明的,使用签名可以保证消息不被篡改。但不能实现数据加密功能。

Base64URL

前面提到,Header和Payload串型化的算法是Base64URL。这个算法跟Base64算法基本类似,但有一些小的不同。
JWT作为令牌(token),有些场合可能会放到URL(比如api.example.com/?token = xxx)。Base64有三个字符+、/和=,在URL里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_。这就是Base64URL的=算法。

4. JWT的使用方式

客户端收到服务器返回的JWT,可以存储在Cookie里面,也可以存储在localStorage。

此后,客户端每次与服务器通信,都要带上这个JWT。你可以把它放在Cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在HTTP请求的头信息Authorization字段里面。

Authorization:Bearer <token>

另一种做法是,跨域的时候,JWT就放在POST请求的数据体里面。

5. JWT的几个特点

(1)JWT默认是不加密,但也可以是加密的。生成原始Token以后,可以使用密钥再次加密。
(2)JWT不加密的情况下,不能将秘密数据写入JWT。
(3)JWT不仅可以用于认证,也可以用于交换信息。有效使用JWT,可以降低服务器查询数据库的次数。
(4)JWT的最大缺点是,由于服务器不保存session状态,因此无法在使用过程中废止某个token,或者更改token的权限。也就是说,一旦JWT签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
(5)JWT本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT的有效期应该设置的比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
(6)为了减少盗用,JWT不应该使用HTTP协议明码传输,要使用HTTPS协议传输。

在这里插入图片描述

JWT的解决方案

https://jwt.io/

在Node.js中使用JWT

推荐:https://github.com/auth0/node-jsonwebtoken

详细使用方法

//引入 jwt
const jwt = require('jsonwebtoken')



//生成 jwt (建议使用异步方法)
// const token = jwt.sign({
//	 foo:'bar'
// },'shhhhh')


// 异步生成token
jwt.sign({
	foo:'bar'
},'shhhhh',(err,token) => {
	// 失败
	if(err){
		return console.log('生成token失败')
	}
	// 成功
	console.log(token)
})



//验证 jwt
jwt.verify('生成的token',
	'生成token的唯一识别码(这里使用的是:shhhhh)',
	(err,ret) => {
		// 失败
		if(err){
			console.log('token认证失败')
		}
		// 成功
		console.log(ret)
	})
Sᴀғᴇᴛʏ 007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JWT实现用户身份认证
子悠のziyou
02-25 1336
JWT(JSON WEB TOKEN) 是目前最流行的跨域认证解决方案,是一种基于Token认证授权机制,JWT自身包含了身份验证所需要的所有信息,因此我们服务端不需要存储Session信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端压力。
基于JWT的身份验证
我的博客
09-03 513
基于JWT的身份验证
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3381
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
基于JWT的Token认证
互联网叫兽
03-02 2075
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
基于JWT的token验证
lkl2017的博客
02-20 442
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
asp.net基于JWT的web api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWT的web api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
12_基于JWT的Web API身份验证
10-31
12_基于JWT的Web API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
ocelot网关+jwt身份认证
06-09
基于webapi的微服务框架,ocelot网关+jwt身份认证
基于Express的JWT身份验证练习
07-24
基于Express的JWT身份验证练习,在该项目中,将会引导你从创建Express服务器开始,导入过程中所需要的包,包括CORS,express-jwt,jsonwebtoken,以及解析数据的中间件body-parser,在本项目中,没有配置ul前端界面...
JwtSpringSecurity:具有基于JWT的身份验证的Spring Security
03-27
JWT与Spring Security 基于JWT的身份验证的Spring Security。 有关详细说明,请参见中篇文章
前端面试题》- TypeScript - TypeScript的优/缺点
小张微说的博客
04-22 1690
问题 简述TypeScript的优/缺点 答案 优点 增强了代码的可读性和可维护性 包容性,js可以直接改成ts,ts编译报错也可以生成js文件,兼容第三方库,即使不是ts编写的 社区活跃,完全支持es6 缺点 增加学习成本 增加开发成本,因为增加了类型定义 需要编译,类型检查会增加编译时长,语法和类型系统复杂的话时间特别特别长 eval和new Function()这种操作类型系统管不到 ...
SpringBoot项目打包分离高阶操作
Record Little
04-23 740
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 207
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
vue实现录音并转文字功能,包括PC端web,手机端web
byebukesi的博客
04-26 487
不止vue,不限技术栈,vue2、vue3、react、.net以及原生js均可实现。
前端调用WebSocket协议接口获取数据
最新发布
m0_56023096的博客
04-29 164
createWs("测试数据", (res) => {
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 944
XYCTF 2024 Web 方向全解
两个前端标签
ma_no_lo的博客
04-24 157
两个前端标签
前端实现将二进制文件流,并下载为excel文件
Hei, Welcome To vickie's Blog,Good Good Study, Day Day Up ~
04-23 672
介绍了前端如何实现将二进制文件流解析并下载为excel文件,以及解决容易遇到的问题。
docker部署前端项目(二)遇到的问题
weixin_45379180的博客
04-25 385
原因: 安装docker的时候使用的是 yum -y install docker 命令,这个命令安装的是老版本。报错四:conflicts with file from package docker-common。因为使用 sudo yum install docker (下载到的是旧版)missing signature key 缺少秘钥。yum remove docker 删除docker。1、docker版本号 只有1.13.1。解决:可能是docker 未启用。
Spring Cloud Gateway 基于JWT的验证
07-13
对于基于JWT的验证,Spring Cloud Gateway 提供了一些可以帮助实现的功能。以下是一些步骤和配置可以参考: 1. 首先,你需要一个 JSON Web Token (JWT) 的生成和验证机制。你可以使用 Spring Security 或者其他 JWT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值