JWT认证机制

最新推荐文章于 2024-06-26 22:36:00 发布
最新推荐文章于 2024-06-26 22:36:00 发布
阅读量396 收藏
点赞数
分类专栏: 前端 MySQL数据库 文章标签: mysql 数据库 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650502/article/details/123795906
版权

JWT(JSON Web Token):解决跨域认证的一种方案。
工作原理:
在这里插入图片描述
JWT会将用户的信息通过Token字符串的形式,保存在客户端浏览器中,然后服务器通过还原Token字符串的形式来认证用户的身份。
JWT的组成部分:
通常由三部分组成,分别是Header(头部)、Payload(有效荷载)、Signature(签名)。三者之间用英文的“ ."分隔。格式如下:

Header.Payload.Signature

其中Payload部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。Header和Signature是安全性相关的部分,只是为了保证Token的安全性。

JWT的使用方式:
客户端收到服务器返回的JWT之后,通常会将它储存在localStoragesessionStorage中。
此后,客户端每次与服务器通信,都要带上这个JWT的字符串,从而进行身份认证。推荐的做法是把JWT放在HTTP请求头的Authorization字段中,格式如下:

Authorization:Bearer <token>

在Express中使用JWT
1.安装JWT相关包:

 npm install isonwebtoken express-jwt

其中:
jsonwebtoken:用于生成JWT字符串;
express-jwt:用于将JWT字符串解析还原成JSON

2.导入JWT相关的包:

// 导入用于生成JWT字符串的包
const jwt = require('jsonwebtoken')
// 导入用于将客户端发送过来的JWT字符串,解析还原成JSON对象的包
const expressJWT = require('express-jwt')

3.定义secret密钥
为了保证WT字符串的安全性,防止JWT字符串在网络传输过程中被别人破解。我们需要专门定义一个用于加密解密的secret密钥:
(1)当生成JWT字符串的时候,需要使用secret密钥对用户的信息进行加密,最终得到密好的JWT字符串;
(2)当把JWT字符串解析还原成JSON对象的时候,需要使用secret密钥进行解密

// secret密钥的本质:就是一个字符串
const secretKey = '字符串'

4.在登录成功后生成JWT字符串
调用jsonwebtoken包提供的sign()方法,将用户的信息加密成JWT字符串,响应给客户端。

// 登录接口
app.post('/api/login',function(req,res) {
	if (err) return console.log(err.message) // 失败
	// 登录成功后,生成JWT字符串,通过token属性响应给客户端
	res.send( {
		status:200,
		message:'登录成功',
		// 调用jwt.sign()生成JWT字符串,三个参数分别是:用户信息对象,加密密钥,配置对象
		token:jwt.sign({ username:userinfo.username},secreKey,{expiresIn:'30s'})
	})
})

5.将JWT字符串还原为JSON对象
客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的Authorization字段,将Token字符串发送到服务器进行身份认证。
此时,服务器可以通过express-jwt这个中间件,自动将客户端发送过来的Token解析还原成JSON对象:

// 使用app.use()来注册中间件
// expressJWT({ secret:secretKey })就是用来解析Token中间件的
//.unless({path:[/^\/api\//] })用来指定哪些接口不需要访问权限
app.use(expressJWT({secret:secretKey}).unless({path:[/^\/api\//] }))

6.使用req.user获取用户信息:

// 这是一个有权限的API接口
app.get('/admin/getinfo',function(req,res) {
	console.log(req.user)
	res.send({
		stauts:200,
		message:'获取用户信息成功',
		data:req.user
	})
})

7.捕获解析JWT失败后产生的错误
当使用express-jwt解析Token字符串时,如果客户端发送过来的Token字符串过期不合法,会产生一个解析失败的错误,影响项目的正常运行。我们可以通过Express 的错误中间件,捕获这个错误并进行相关的处理,示例代码如下:

app.use((err, req. res,next) =>{
// token解析失败导致的错误
	if(err.name === 'UnauthorizedError' ) {
		return res.send({ 
			status: 401,
			message: '无效的token'
		})
	}
// 其它原因导致的错误
	res.send( {
		status:500,
		message: '未知错误'
	})
})
夏至か未至
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是JWT
weixin_30604651的博客
08-21 552
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
什么是 JWT? 如何基于 JWT 进行身份验证?
最新发布
double222222的博客
07-16 1281
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
JWT 认证机制
m0_54007573的博客
06-26 1080
JWT 认证机制
JWT- 认证机制
月夜寻花香的博客
12-09 540
关于JWT,我们在之前的Django项目中刚刚用到,它是基于json数据结构的认证规范,简单来说就是验证用户登录状态,跟之前的session很类似,那么, 我们为什么用JWT而不用session呢? 首先我们要了解一下HTTP: http协议本身是一种无状态的协议,这就意味着每次请求API的时候, 都会把用户名和密码传给服务端,当我们通过http请求发送给服务端的时候,很有可能将我们的用户名密码直...
数据库与身份认证MySQL学习、Session和JWT认证机制实现
zilin_taku的博客
09-21 348
JWT字符串解析还原成JSON对象。的传统 Web开发模式。的新型Web开发模式。
JWT认证机制(Node.js)
qq_45911604的博客
04-14 580
JWT认证机制(Node.js)
2022/8/19 JWT认证机制 VUE2.0初熟悉es6的nodejs,异步读取文件
weixin_54534229的博客
08-19 403
JWT认证机制 VUE2.0初熟悉es6的nodejs,异步读取文件写法
SpringBoot JWT认证机制项目集成Swagger2
我的博客
03-31 2393
Swagger2 作为一个规范和完整的框架,可以用于生成、描述、调用和可视化 RESTful 风格的 Web 服务: 1、 接口文档在线自动生成,文档随接口变动实时更新,节省维护成本 2、 支持在线接口测试,不依赖第三方工具 该文将说明SpringBoot如何集成Swagger2,并通过Swagger配置类加入Header(token Authorization)参数,完成在线接口测试。 1、...
几种常用的认证机制
诚的博客
12-14 1632
HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame, 然后再将其用Base64编码,得到QWxhZGRpbjpvc.
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt 认证机制
浮云
03-23 230
JWT jwt (json web token), 网络应用环境间传递声明而执行的一种基于json的开放标准。可以为用户创建身份凭证。 传统的认证机制session http 是无状态的协议,为了能够是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份信息会在响应时传递个浏览器,保存到cookie中,下次请求带上cookie,我们就知道是谁发来的请求。这就是传统的se...
(黑马)前后端身份认证---JWT 认证机制
weixin_52065872的博客
09-07 728
JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。为了保证 JWT 字符串的安全性,防止 JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密的 secret 密钥:当生成 JWT 字符串的时候,需要使用secret 密钥对用户的信息进行加密,最终得到加密好的 JWT 字符串当把 JWT 字符串解析还原成 JSON 对象的时候,需要使用secret 密钥进行解密。
JWT机制
qq_44787933的博客
02-23 4688
JWT(基于token的鉴权机制) jwt(json web token),网络应用环境间传递声明而执行的一种json的开放标准。可以为用户创建身份凭证。 secret是保存在服务器端的,jwt的签发也是在服务器端的,secret是用来签发和认证的。 客户携带用户名和密码登录服务器,在服务端生成jwt和secret,返回给客户端存起来,下次访问时带上,后端对jwt解析,拿出secret和后端进行对比。 步骤: 1、用户使用用户名密码来请求服务器 2、服务器进行验证用户的信息 3、服务器通过验证后生成一个to
Angular JWT认证实战教程与示例
JWT(JSON Web Token)是一种广泛采用的认证机制,它允许服务端与客户端之间安全地交换信息,同时保持轻量级的通信。本示例将详细介绍如何在Angular应用中实现JWT认证JWT认证的基本原理是,用户成功登录后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值