JWT实现加密用户信息及信息验证

最新推荐文章于 2024-03-20 17:07:02 发布
最新推荐文章于 2024-03-20 17:07:02 发布
阅读量572 收藏
点赞数
分类专栏: nodejs笔记 文章标签: jwt session 安全 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44659458/article/details/115027151
版权

传送门

一、什么是JWT

  • JWT —— json web token
  • 用户认证成功之后,server 端返回一个加密的token给客户端
  • 客户端后续每次请求都带 token ,以示当前的用户身份

二、搭建环境(koa2 环境)

npm install koa-generator -g

koa2 -e koa2-jwt-code

cd koa2-jwt-code

npm install

在这里插入图片描述

三、编写测试路由

//模拟登录
router.prefix('/users')
router.post('/login', async (ctx, next) => {
  const { username, password } = ctx.request.body

  let userInfo
  if (username === 'zhangsan' && password === '123') {
    userInfo = {
      userId: 1,
      userName: 'zhangsan',
      password: '123',
      nickName: '张三'
    }
   }
    if (userInfo == null) {
      ctx.body ={
        errno: -1,
        msg:"登录失败"
      }
      return
    }
    ctx.body = {
      errno: 0,
      userInfo
    }
  
})

在这里插入图片描述

四、对返回的用户信息进行加密

  • 安装插件

npm i koa-jwt --save (对是否为当前用户进行验证)

npm i jsonwebtoken --save (对返回信息进行加密)

  • 配置插件
// app.js

const jwtKoa = require('koa-jwt')
app.use(jwtKoa(
  {
    secret:'1Hrj$_enferk' //密钥

  }
).unless({
  path:[/^\/users\/login/] //自定义哪些目录忽略 JWT 验证
}))

注:如果目录下使用 JWT 验证,每次访问该目录下的路由是需要携带 token 信息(即加密信息)才能访问该路由。

//对信息进行加密
const jwt = require('jsonwebtoken')
token = jwt.sign(userInfo, '1Hrj$_enferk',{expiresIn: '1h'})

在这里插入图片描述

五、服务端获取用户信息并解密信息

const until = require('util')
const verify = until.promisify(jwt.verify)

router.get('/getUserInfo', async (ctx, next) => {
  const token = ctx.header.authorization
  try {
    const payload = await verify(token.split(' ')[1], '1Hrj$_enferk')
    ctx.body = {
      errno:0,
      userInfo: payload
    }
  } catch (ex) {
    ctx.body = {
      errno:-1,
      msg:'失败'
    }
  }
})

在这里插入图片描述

六、JWT vs Session

共同点:为了解决:登录和存储登录用户信息
不同点:

  • JWT 用户信息加密存储在客户端,不依赖 cookie ,可跨域
  • session 用户信息存储在服务端,依赖于 cookie,默认不可跨域

JWT 的优点:

  • 将加密信息存放在客户端,减少服务端的内存压力。
  • 不依赖于 cookie 可以将信息进行跨域分享。

JWT的不足:

  • 服务端无法控制信息,一旦用户修改信息后,服务端无法第一时间修改加密信息。

Session的优点:

  • 可以对用户信息进行控制。

Session的不足:

  • 存储要依赖于 redis 和 cookie ,并且不能跨域。
  • 一旦上线启动多进程,而不依赖 redis 是无法实现多进程之间的信息共享。
海面有风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
JWT加密算法原理及实现
光剑书架上的书
10-03 1174
作者:禅与计算机程序设计艺术 1.简介 JSON Web Token(JWT)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。该规范允许用户将登录 credentials 和 session state 作为 JSON 对象进行加密,这些信息可以被验证但无
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
热门推荐
Asurplus
02-28 21万+
什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
JWT类用于登陆人信息加密解密
u014703039的博客
12-10 592
package com.cmcc.util;import io.jsonwebtoken.Claims;import io.jsonwebtoken.JwtBuilder;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import java.security.Key;import java.util.D...
[1042]JWT加密
周小董
08-19 257
文章目录简介起源数据格式JWT交互流程python使用jwt非对称加密 简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; jwt的解析工具:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。 传统的session认证 我们知道,http协议本身是一种无状态的
jwt验证登录信息
weixin_30535043的博客
08-27 140
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别...
JS 生成JWT (代码可直接使用)
A_bad_horse的专栏
11-29 3532
JS 生成JWT (代码可直接使用)
koa+jwt实现token验证与刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
express框架中使用jwt实现验证的方法
10-16
JWT通常用于身份验证信息交换,其核心思想是服务器通过验证客户端提供的信息来确认用户身份。与传统的会话存储在服务器端(session)方式相比,JWT用户信息加密存储在客户端,减少了服务器的压力。 接下来,...
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 578
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。服务器向用户返回session_id,se...
js 解密jwt令牌
weixin_40331613的博客
11-21 4455
1.引入包 jwt-decode.min.js 2.以下是解析jwt令牌方法 //解析jwt令牌,获取用户信息 var getUserjwt = function (jwt) { if(!jwt){ return ; } //解析jwt令牌 var jwtDecodeVal = jwt_decode(jwt); //打印 co...
JWT—是什么?如何实现用户登录验证
最新发布
一起加油吧~
03-20 1435
这个部分需要 base64URL 加密后的 header 和 base64URL 加密后的 payload 使用 . 连接组成的字符串,然后通过header 中声明的加密算法 进行加secret组合加密,然后就得出一个签名哈希,也就是Signature,且无法反向解密。用户认证通过之后服务端会创建对应的session并存储,会生成一个唯一的session_id并返回给客户端,客户端在浏览器的Cookie中或其他方式(内存,但服务器重启后会丢失;nbf (Not Before):生效时间,在此之前是无效的。
JWT加密规则
weixin_44949531的博客
07-16 1661
JWT加密规则 JWT(Java Web Token)是基于token的身份认证的方案,可以保证安全传输的前提下传送一些基本的信息,JWT安全特性保证了token的不可伪造和不可篡改。本质上是一个独立的身份验证令牌,可以包含用户标识、用户角色和权限等信息,以及您可以存储任何其他信息(自包含)。任何人都可以轻松读取和解析,并使用密钥来验证真实性。JWT包含如下三部分: 头部(header): {“alg”:“HS256”} , 使用base64编码 载荷(playload): {“jti”:“18cba4
JWT用于长时间保存用户认证信息
m0_75015716的博客
11-09 1512
JWT用于长时间保存用户认证的信息
JWT登录信息加密
MiChong的博客
04-11 3931
1、背景 对于传统的单点登录系统,使用cookie和session的方式存储用户登录信息,但是对于安全性要求较高的企业–金融企业,就需要对用户的信息进行加密存储,防止客户信息泄露。 2、JWT构成 JWT—-JSON Web Token 第一部分我们称它为头部(header) 完整的头部就像下面这样的JSON: { "typ": "JWT", //声明类...
JWT验证用户信息功能与OAuth2协议
赵广陆
12-31 1258
1 简介 JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。 每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在授权标头
jwt加密使用于登录
weixin_45932157的博客
06-26 643
```handlebars 前端登录代码: <script src="js/tableserialize.js"></script> <script type="text/javascript"> //获取登录信息 $("#form1 input[type='submit']").click(function () { var getform1 = $("#form1").se.
JWT加密技术 使用及操作案例
ly19980804的博客
07-26 1463
JWT加密技术 使用及操作案例
Springboot +JWT实现登录认证,密码加密及Token校验全过程(附源码)
dingdingdandan
05-09 8236
JWT实现登录认证简介环境1. 依赖2. token生成及校验3. 登录4. 编写拦截器进行token校验5. 源码下载 简介 通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下: 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通
Python实现信息加密解密网站平台
此外,为了增加安全性,网站还应该包含身份验证和授权机制,例如使用OAuth2.0或JWT进行用户认证,防止未经授权的访问。 除了基本的加密解密服务,系统还可以扩展其他功能,比如文件加密上传、解密下载,或者提供...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海面有风

您的鼓励将是我前进的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值