移动端前后端分离实现Token认证

最新推荐文章于 2023-05-18 12:00:55 发布
最新推荐文章于 2023-05-18 12:00:55 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: java 文章标签: redis jwt
本文链接:https://blog.csdn.net/weixin_45863786/article/details/110220426
版权

简介

         在实际项目开发当中,如果做微信小程序h5等项目时,需求需要用到token做登陆认证时,大家可能都会使用数据库存储token手动随机生成token凭证,今天教大家使用jwt做token

认证,采用的技术,redis缓存,jwt,拦截器,过滤器,会详细讲解jwt优缺点后续解决办法。

 

jwt介绍

        JWT 全称 JSON Web Tokens ,是一种规范化的 token。是对 token 这一技术提出一套规范。

 

JWT的结构

    头部(header)
    载荷(Payload)
    签名(Signature)

 

Header

头部包含了两部分,采用的签名算法和token 类型

{
  "alg": "HS256",
  "typ": "JWT"
}

 

Payload

这部分就是我们存放信息的地方了,你可以把用户 ID 等信息放在这里(当然用户ID推荐加密后存放),JWT 规范里面对这部分有进行了比较详细的介绍,常用的由 iss(签发者),iat(签发时间),exp(过期时间),sub(面向的用户),aud(接收方)

{
    "iss": "lion1ou JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "example@163.com"
}

 

Signature

Header 和 Payload 编码后的字符串拼接后再用HS256签名算法(Header中alg指明的算法)加密,在加密的过程中还需加上secret(密钥),最后得到签名

Tips:Base64是一种编码,并不是一种加密过程,不具备安全性,所以敏感信息别放入其中

 

JWT 生成 TOKEN

  • header json 的 base64 编码为令牌第一部分
  • payload json 的 base64 编码为令牌第二部分
  • 拼装第一、第二部分编码后的 json 以及 secret 进行签名的令牌的第三部分
// 头部
header = '{"alg":"HS256","typ":"JWT"}'

// 载荷
payload = '{"loggedInAs":"admin","iat":1422779638}'

// 对 header 和 payload 分别进行 base64 编码后拼接起来进行 hash 运算得到签名
signature = HMAC-SHA256(encodeBase64Url(header) + "." + encodeBase64Url(payload),secret)

// 最后将三部分进行 base64 编码后再拼接即可得到 token。
json_web_token = encodeBase64Url(header) + '.' + encodeBase64Url(payload) + '.' + encodeBase64Url(signature)

JWT 使用

请求

  • url 参数:?token=你的token
  • header 中:Authorization:Bearer <token>(推荐)

注意Bearer和token之间有一个空格

接收

前端接收到后端返回的 token 后进行存储,一般存储在:

  1. LocalStorage
  2. SessionStorage
  3. Cookie

 

JWT 的优势和问题

优势

  1. 防 CSRF
  2. 适合移动应用
  3. 无状态的 RESTful API
  4. 一次性验证(如邮件激活)

 

问题

  1. 续签问题
  2. 注销问题

 

JWT 安全

  • 使用 HTTPS
  • 缩短 token 有效时间
  • 定期更新密钥
  • 使用HttpOnly属性来防止Cookie被JavaScript读取,防止 XSS 攻击窃取 cookie
  • 不要在token中编码敏感信息,如果一定会有那必须先加密再进行编码
  • 根据需要可将用户 IP 放入 Payload 进行校验

    关于jwt的token的续签问题,注销问题后续代码体现于解决办法,下面代码体现。

 

一编写JWT的Toke工具包

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import io.jsonwebtoken.ExpiredJwtException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * token认证工具包
 * @author huangan
 * @date 2020/11/15 14:32
 */
public class TokenUtil {
    // 15 * 60 * 1000;
    private static final long EXPIRE_TIME = 30 * 60 * 1000;
    private static final String TOKEN_SECRET = "thefirsttoken123";

    /**
     * 生成签名,15分钟过期
     * @param **username**
     * @param **password**
     * @return
     */
    public static String sign(String username, String password) {
        try {
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            // 私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HS256");
            // 返回token字符串
            return JWT.create()
                    .withHeader(header)
                    .withClaim("loginName", username)
                    .withClaim("pwd", password)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    /**
     * 检验token是否正确
     * @param **token**
     * @return
     */
    public static boolean verify(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            verifier.verify(token);
            return true;
        } catch (Exception e){
            return false;
        }
    }
    
    /**
     * 验证token是否失效
     * true:过期
最低0.47元/天 解锁文章
weixin_45863786
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
前后端分离项目token怎么验证_前后端分离项目使用token登陆
weixin_39769091的博客
02-05 463
前端代码import importlibimport osfrom flask import Flask, url_for, request, render_templateapp = Flask(__name__)app.jinja_env.auto_reload = Trueapp.config['TEMPLATES_AUTO_RELOAD'] = Truehtml = """function...
前端应该学习的 Token 登录认证知识
最新发布
04-12 345
使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:1.前端使用用户名跟密码请求首次登录2.后服务端收到请求,去验证用户名与密码是否正确3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个Token,再把这个Token发送给前端4.前端收到 返回的Token,把它存储起来,比如放在Cookie里或者里resources?: string[];5.前端每次路由跳转,判断有无token,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;
前后端分离实现用户登录Token权限验证
Silence_dhy的博客
09-29 6341
Springboot+Vue前后端分离实现用户登录Token权限验证以及登录Token状态保存
前后端分离token设计
编程算啥事(公总号)的博客
12-24 1128
前后端分离token设计 1、前端端分离用户认证以后,目前大多数都采用请求头携带 Token 的形式,每次请求都需要验证是否有token一级token是否过期。 2.前端使用axio,使用response拦截器拦截,如果状态码是401,则使用refreshtoken重新请求token,将请求到的token放到localStroage。 3.退出用户 清除所有token,重定向到登录页面。red...
实现前后端分离的登陆验证token思路
weixin_45509601的博客
09-11 3713
在前后端完全分离的情况下,Vue项目中实现token验证大致思路如下: 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面 5、每次调后端接口,都要在请求头中加token 6、后端判断请求头中有无token
前后端分离登录验证token思路
weixin_46432232的博客
05-18 887
6、后端判断请求头中有无token,有token,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回401,请求头中没有token也返回401。4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面。3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面。2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token
thinkphp+jwt实现前后端分离
03-15
使用Thinkphp6+jwt 简单实现前后端分离
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
感受一下前后端分离
08-26
博客:https://blog.csdn.net/m0_37499059/article/details/82082825 1.springboot 2.跨域访问(CORS)和token校验 3.jjwt生成token 4.拦截器的使用 5.全局异常处理 6.postman工具使用
laravel5.8 前后端分离 api注册登录请求
01-02
在用户表加api_token字段,前后端分离实现最基本的注册登录api请求,用户注册登录时,需生成一个api_token
前后端如何实现登录token拦截校验详解
12-10
一、场景与环境 最近需要写一下前后端分离下的登录解决方案,目前大多数都采用请求头携带 Token 的形式 1、我是名小白web工作者,每天都为自己的将来担心不已。第一次记录日常开发中的过程,如有表达不当,还请一笑而过; 2、本实例开发环境前端采用 angular框架,后端采用 springboot框架; 3、实现的目的如下:   a、前端实现登录操作(无注册功能);   b、后端接收到登录信息,生成有效期限token(后端算法生成的一段秘钥),作为结果返回给前端;   c、前端在此后的每次请求,都会携带token与后端校验;   d、在token有效时间内前端的请求响应都会成功,
前后端分离-通过header传递JW(Token)实现认证
Thinkingcao的专栏
07-05 4646
前后端分离基于Token鉴权认证设计流程: 1.前端输入用户名、密码后台登录 2.后端根据用户ID生成Token、返回给前端 3.前端ajax请求、通过header头部设置 Authorization:token 4.后端通过Filter、拦截所有请求、处理请求是否合法(token失效、token为空、token过期) 前端ajax关键代码 $.ajax({ ...
(二)前后端分离token验证
qq_34638435的博客
07-30 8308
首先了解几种验证方式及为什么需要token验证:基于Token的WEB后台认证机制 疑问:认证是定义在哪里》服务器端还是前端???  简单理解:服务端生成token接口和校验token返回token给前端,前端定义拦截器每次请求携带认证token。  简略摘抄: HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和pa...
简单前后端分离token验证流程
热门推荐
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
前后端分离常用的认证方式
m0_59708021的博客
06-28 1072
前后端分离常用的认证方式 前后端分离中前后端的交互是通过 API 进行的,那么其中的认证是少不了的。前后端分离中常用的认证方式有下面几种: Session-Cookie Token 验证 OAuth(开放授权) Session-Cookie 方式 Session-Cookie 方式是我们开发 web 应用时最常用的认证方式。它的认证过程一般是这样的: 1/ 用户浏览器向服务器发起认证请求,将用户名和密码发送给服务器。 2/ 服务器认证用户名和密码,若通过则创建一个 session 对话,并
基于token前后端分离认证实现
weixin_30237719的博客
06-12 1048
1 主要思路   1. 前端编写导航守卫,如果没有localStorage中没有获取到token,则跳转登录页。   2. 登录页,向后端登录发送,获取token,然后将token存储在localStorage中,跳转首页。   3. 在前端请求拦截器上加上为header加上token,如果有的话。   4. 后端的登录接口,验证完账号密码后,用itsdangerous工具提供的...
单体项目以及前后端分离项目token验证以及验证流程
qq_61935738的博客
03-20 816
单体项目以及前后端分离项目token验证以及验证流程
前后端分离sa-token单点登录
08-26
前后端分离是一种开发架构,将前端和后端的开发过程分开进行,前端主要负责用户界面展示和交互逻辑,后端负责数据处理和业务逻辑。而sa-token是一种单点登录的解决方案。 sa-token是基于Token的一个轻量级权限认证和申请令牌的工具,可以实现前后端分离项目的单点登录功能。它通过生成和验证Token令牌来实现用户身份认证。 在前后端分离的架构中,前端发送登录请求到后端,后端通过验证用户的账号和密码,如果验证成功,则生成一个Token令牌,并将该Token返回给前端。前端保存该Token,每次向后端发送请求时,需要在请求的Header中添加Token。后端通过获取请求Header中的Token,并进行验证,如果验证通过,则表示用户已登录。 sa-token提供了一些便捷的API,用于生成Token、验证Token、获取用户信息等操作。通过这些API,我们可以简便地实现单点登录的功能。sa-token还提供了一些定制化的配置选项,可以根据实际需求进行调整。 前后端分离的sa-token单点登录方案具有以下优点:简单易用、安全性高、扩展性强等。同时,由于前后端分离,使得前端和后端可以独立开发和部署,提高了开发效率和项目的可维护性。 总之,前后端分离sa-token单点登录是一种解决方案,通过Token令牌验证实现用户身份认证,适用于前后端分离的项目,具有诸多优点,可轻松实现单点登录功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值