移动端前后端分离实现Token认证

最新推荐文章于 2024-01-28 15:26:32 发布
最新推荐文章于 2024-01-28 15:26:32 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: java 文章标签: redis jwt
本文链接:https://blog.csdn.net/weixin_45863786/article/details/110220426
版权
本文介绍了使用JWT进行移动端登录认证的实现过程,包括JWT的结构、生成与使用,以及在实际项目中如何配置和处理续签、注销等问题。通过结合redis缓存和拦截器,实现了安全的无状态RESTful API交互。
摘要由CSDN通过智能技术生成

简介

         在实际项目开发当中,如果做微信小程序h5等项目时,需求需要用到token做登陆认证时,大家可能都会使用数据库存储token手动随机生成token凭证,今天教大家使用jwt做token

认证,采用的技术,redis缓存,jwt,拦截器,过滤器,会详细讲解jwt优缺点后续解决办法。

 

jwt介绍

        JWT 全称 JSON Web Tokens ,是一种规范化的 token。是对 token 这一技术提出一套规范。

 

JWT的结构

    头部(header)
    载荷(Payload)
    签名(Signature)

 

Header

头部包含了两部分,采用的签名算法和token 类型

{
  "alg": "HS256",
  "typ": "JWT"
}

 

Payload

这部分就是我们存放信息的地方了,你可以把用户 ID 等信息放在这里(当然用户ID推荐加密后存放),JWT 规范里面对这部分有进行了比较详细的介绍,常用的由 iss(签发者),iat(签发时间),exp(过期时间),sub(面向的用户),aud(接收方)

{
    "iss": "lion1ou JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "example@163.com"
}

 

Signature

Header 和 Payload 编码后的字符串拼接后再用HS256签名算法(Header中alg指明的算法)加密,在加密的过程中还需加上secret(密钥),最后得到签名

Tips:Base64是一种编码,并不是一种加密过程,不具备安全性,所以敏感信息别放入其中

 

JWT 生成 TOKEN

  • header json 的 base64 编码为令牌第一部分
  • payload json 的 base64 编码为令牌第二部分
  • 拼装第一、第二部分编码后的 json 以及 secret 进行签名的令牌的第三部分
// 头部
header = '{"alg":"HS256","typ":"JWT"}'

// 载荷
payload = '{"loggedInAs":"admin","iat":1422779638}'

// 对 header 和 payload 分别进行 base64 编码后拼接起来进行 hash 运算得到签名
signature = HMAC-SHA256(encodeBase64Url(header) + "." + encodeBase64Url(payload),secret)

// 最后将三部分进行 base64 编码后再拼接即可得到 token。
json_web_token = encodeBase64Url(header) + '.' + encodeBase64Url(payload) + '.' + encodeBase64Url(signature)

JWT 使用

请求

  • url 参数:?token=你的token
  • header 中:Authorization:Bearer <token>(推荐)

注意Bearer和token之间有一个空格

接收

前端接收到后端返回的 token 后进行存储,一般存储在:

  1. LocalStorage
  2. SessionStorage
  3. Cookie

 

JWT 的优势和问题

优势

  1. 防 CSRF
  2. 适合移动应用
  3. 无状态的 RESTful API
  4. 一次性验证(如邮件激活)

 

问题

  1. 续签问题
  2. 注销问题

 

JWT 安全

  • 使用 HTTPS
  • 缩短 token 有效时间
  • 定期更新密钥
  • 使用HttpOnly属性来防止Cookie被JavaScript读取,防止 XSS 攻击窃取 cookie
  • 不要在token中编码敏感信息,如果一定会有那必须先加密再进行编码
  • 根据需要可将用户 IP 放入 Payload 进行校验

    关于jwt的token的续签问题,注销问题后续代码体现于解决办法,下面代码体现。

 

一编写JWT的Toke工具包

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import io.jsonwebtoken.ExpiredJwtException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * token认证工具包
 * @author huangan
 * @date 2020/11/15 14:32
 */
public class TokenUtil {
    // 15 * 60 * 1000;
    private static final long EXPIRE_TIME = 30 * 60 * 1000;
    private static final String TOKEN_SECRET = "thefirsttoken123";

    /**
     * 生成签名,15分钟过期
     * @param **username**
     * @param **password**
     * @return
     */
    public static String sign(String username, String password) {
        try {
            // 设置过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            // 私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HS256");
            // 返回token字符串
            return JWT.create()
                    .withHeader(header)
                    .withClaim("loginName", username)
                    .withClaim("pwd", password)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    /**
     * 检验token是否正确
     * @param **token**
     * @return
     */
    public static boolean verify(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            verifier.verify(token);
            return true;
        } catch (Exception e){
            return false;
        }
    }
    
    /**
     * 验证token是否失效
     * true:过期   fals
最低0.47元/天 解锁文章
weixin_45863786
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
若依@v3.8.6前后端分离版:添加新用户表添加新登录接口,用于小程序或者APP获取token,并使用若依的验证方法
10-29
在IT行业中,前后端分离是一种常见的开发模式,它将用户界面和服务器端逻辑分开,以提高开发效率和应用性能。若依(RuoYi)是一个流行的企业级Java框架,适用于构建快速、简洁、高效的管理后台。在这个上下文中,...
简单前后端分离token验证流程
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
uniapp和Django进行前后端分离小程序开发,token设计
最新发布
m0_54113650的博客
01-28 245
这里本来有’Content-Type’: 'multipart/form-data’的,但是发送给后端,就算身份验证成功了,但是前端得到的信息是detail":"Multipart form parse error - Invalid boundary in multipart: None"显示错误,后来查了资料把这个注释掉了才成功的。在开发小程序时,需要进行token的设计,这里是使用simpleJWT进行token的获取,在后面的话就可以直接使用APIView进行身份验证。3.setting里配置。
前后端分离实现用户登录Token权限验证
Silence_dhy的博客
09-29 6461
Springboot+Vue前后端分离实现用户登录Token权限验证以及登录Token状态保存
sa-token部分源码分析
ZHANGLIZENG的博客
02-14 1347
to-token基本介绍及部分源码分析...
前后端分离登录验证token思路
weixin_46432232的博客
05-18 923
6、后端判断请求头中有无token,有token,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回401,请求头中没有token也返回401。4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面。3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面。2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token
前后端接口规约.pdf
05-11
随着互联网技术的快速发展,前后端分离架构成为现代Web应用开发中的主流选择。为了提高团队协作效率、减少沟通成本并确保系统的稳定性和可维护性,制定一套完整的前后端接口规约显得尤为重要。本文将基于“前后端...
Token技术分析
12-14
通过对“爱旅行”项目的Token机制进行深入分析,我们可以看到Token作为一种有效的用户认证手段,在前后端分离的架构下具有重要的应用价值。通过对用户表的合理设计、Token数据结构的规划以及有效期的管理,可以有效...
PHP如何使用JWT做Api接口身份认证实现
10-15
随着前后端分离架构和移动端应用的流行,传统的Session认证方式已经不能完全满足需求。因此,JSON Web TokenJWT)作为一种轻量级的认证解决方案被广泛采纳。JWT提供了一种紧凑的、自包含的方式用于在双方间安全地...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
适用于多客户端(特别是移动端)的前后端解决方案 移动端使用的往往不是网页技术,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。 无状态化 JWT 是无状态化的,更...
redis+token实现登录校验,前后端分离,及解跨域问题的4种方法
qi341500的博客
02-15 2992
一、使用自定义filter实现跨域 1、客户端向服务端发送请求 2、服务端做登录验证了,并生成登路用户对应的token,保存到redis 3、响应(报错)-----跨域问题 4、解决跨域问题--------服务器端添加过滤器,设置请求头 5、重新登录正确响应 6、客户端登redis录后访问页面,需要经过拦截器验证登录状态 7、编写拦截器 二、在任意配置类,返回一个 新的 CorsFIlter Bean 三、使用注解 (局部跨域) 四、手动设置响应头(局部跨域)
前后端分离-通过header传递JW(Token)实现认证
Thinkingcao的专栏
07-05 4682
前后端分离基于Token鉴权认证设计流程: 1.前端输入用户名、密码后台登录 2.后端根据用户ID生成Token、返回给前端 3.前端ajax请求、通过header头部设置 Authorization:token 4.后端通过Filter、拦截所有请求、处理请求是否合法(token失效、token为空、token过期) 前端ajax关键代码 $.ajax({ ...
vue前后端分离单点登录,结合长token和短token进行登录
前端开发工程师
09-14 8153
在公司发展初期,公司拥有的系统不多,通常一个两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登陆,很方便,但是,随着企业的发展,用到的系统随之增加,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说很不方便,也是就想到是不是可以在一个系统登陆,其它系统就不用登陆了呢?那么单点登录就是解决这个问题。
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
实现前后端分离的登陆验证token思路
qq_40895460的博客
11-27 1761
实现前后端分离的登陆验证token思路
单体项目以及前后端分离项目token验证以及验证流程
qq_61935738的博客
03-20 842
单体项目以及前后端分离项目token验证以及验证流程
ssm+vue 前后端分离登录验证——token以及前端登录路由验证
m0_56253302的博客
07-04 883
ssm+vue 前后端分离登录验证——token以及前端登录路由验证。 传统的Session模式鉴权也不再适合这种架构(或者需要额外写很多的代码来专门适配)。故这里使用token进行登陆验证。 token是一个令牌,是一种服务端无状态的认证方式。token的本质就是一个唯一标识符的字符串,可以有UUID生成,也可以有用户ID根据算法进行加密生成,取到token之后在进行解密,取出用户的ID。
JWT创建token鉴权
IranLin的博客
09-13 1257
开发程序需要设计用户鉴权,这次跟桌面客户端交互,采用token进行鉴权,使用JWT进行鉴权(虽然有人说不要用JWT了,不过还是试试了解一下。) 开发时参考了其他博主的内容学习了解,下面JWT的相关知识内容就直接复制过来,出处:JWT全面解读、使用步骤_陈袁的博客-CSDN博客 JWT基本使用 在pom.xml引入java-jwt <dependency> <groupId>com.auth0</groupId> <artif...
java认证框架_sa-token 一个的JavaWeb权限认证框架,强大、简单、好用
weixin_28687807的博客
02-26 600
sa-token是什么?一个的JavaWeb权限认证框架,强大、简单、好用与其它权限认证框架相比,sa-token尽力保证两点:上手简单:能自动化的配置全部自动化,不让你费脑子功能强大:能涵盖的功能全部涵盖,不让你用个框架还要自己给框架打各种补丁涵盖功能登录验证权限验证自定义session会话踢人下线模拟他人账号持久层扩展(集成redis)多账号认证体系(比如一个商城项目的user表和admin表...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值