cookie与jwt解析

已于 2023-07-30 21:12:57 修改
阅读量418 收藏
点赞数
分类专栏: node 文章标签: 服务器 前端 node.js
于 2023-07-26 00:28:08 首次发布
ik
本文链接:https://blog.csdn.net/weixin_46104934/article/details/131928557
版权

文章目录

1. cookie

  • cookie保存在客户端中,同时Cookie可以分为内存Cookie和硬盘Cookie
    • 内存Cookie由浏览器维护,保存在内存中,浏览器关闭时Cookie就会消失,其存在时间是短暂的;
    • 硬盘Cookie保存在硬盘中,有一个过期时间,用户手动清理或者过期时间到时,才会被清理;
  • 如果判断一个cookie是内存cookie还是硬盘cookie呢?
    • 没有设置过期时间,默认情况下cookie是内存cookie,在关闭浏览器时会自动删除;
    • 有设置过期时间 (max-age=过期时间),并且过期时间不为0或者负数的cookie,是硬盘cookie,需要手动或者到期时,才会删除;
  • 默认情况下的cookie是内存cookie,也称之为会话cookie,也就是在浏览器关闭时会自动被删除
  • 可以通过设置expires或者max-age来设置过期的时间
    • expires:设置的是Date.toUTCString(),设置格式是;expires=date-in-GMTString-format;
    • max-age:设置过期的秒钟,;max-age=max-age-in-seconds (例如一年为606024*365);

1.1 服务端cookie设置

  • cookie验证
    • 服务端设置cookie
    • 客户端(游览器)获取服务器设置的cookie,并且做一个保存
    • 在同一个作用域下进行访问(域名/路径), 会在动态携带cookie
    • 服务器可以通过客户端携带的cookie验证用户的身份
const koa = require('koa');

const koaRouter = require('@koa/router');
const app = new koa()
/**
* @description:
* @param {type} 服务端设置cookie
* @param {type} 客户端(游览器)获取服务器设置的cookie,并且做一个保存
* @param {type} 在同一个作用域下进行访问(域名/路径), 会在动携带cookie
* @param {type} 服务器可以通过客户端携带的cookie验证用户的身份
* @return: 
*/
const userRouter = new koaRouter({ prefix: '/users' })
userRouter.get('/login', (cxt, next) => {
	// 服务器设置会话cookie
	cxt.cookies.set('slogin', 'ikun', {
		maxAge: 60 * 1000
	})
	cxt.body = '登录成功'
	next()
})

userRouter.get('/list', (cxt, next) => {
	// 当上个接口登录成功后 这个cookie会自动携带
	const cookie = cxt.cookies.get('slogin')
	console.log(cookie);
	if (cookie) {
		cxt.body = cookie
	}
})
app.use(userRouter.routes())
app.listen(9000, () => {
	console.log('服务器启动成功~');
})
  • cookie是采用明文传输的因此安全性存在一定的问题

同时在发送HTTP请求时,发现游览器将我们的cookie都进行了携带(注意:游览器只会携带在当前请求的url中包含了该cookie中path值的cookie),并且是以key:value的形式进行表示的。多个cookie用;进行隔开。

-

1.2 cookie签名与加盐

  • cookie中的签名基于session, Session 是另一种记录客户状态的机制,保存在服务器上。
  1. Session的工作流程:当浏览器访问服务器并发送第一次请求时,服务器端会创建一个 session 对象,生成一个类似于 key,value 的键值对,然后将 key(cookie)返回到浏览器(客户端),浏览器下次再访问时,携带 key(cookie),找到对应的 session(value),用户的信息都保存在 session 中
  • 安装 npm install koa-session
const koa = require('koa');
const koaSession = require('koa-session');
const koaRouter = require('@koa/router');
const app = new koa()
//  npm i koa-session
const session = koaSession({
	key: 'sessionId',
	httpOnly:true,   // 不允许通过JS获取cookie
	maxAge:5*1000,    // 过期时间
	rolling:true, // 每次响应时,刷新session的有效期
	signed:true   // 加密签名认证,防止数据被篡改,必传
},app)

app.keys=['aaa']  // 加盐操作 ,双层验证
app.use(session)
const userRouter = new koaRouter({ prefix: '/users' })
userRouter.get('/login', (cxt, next) => {
	cxt.session.slogin='ikun'
	cxt.body = '登录成功'
})

userRouter.get('/list', (cxt, next) => {
	const cookie = cxt.session.slogin
	console.log(cookie);
	if (cookie) {
		cxt.body = cookie
	}else{
		cxt.body='没有权限访问'
	}
})
app.use(userRouter.routes())
app.listen(9000, () => {
	console.log('服务器启动成功~');
})

1.3 cookie与session的区别

  1. cookie 数据存放在客户端浏览器上,session 数据放在服务器上。

  2. cookie 不是很安全,是明文传递的,所以存在安全性的问题;

  3. session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。

  4. 单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。

  5. 对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookie和session;

2. JWT token

  • 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

  • JWT生成的Token由三部分组成:

  • header 用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

    • alg:采用的加密算法,默认是 HMAC SHA256(HS256),采用同一个密钥进行加密和解密;
    • type:JWT,固定值,通常都写成JWT即可;
    • 会通过base64Url算法进行编码;

  • payload

    • 携带的数据,比如我们可以将用户的id和name放到payload中;
    • 默认也会携带iat(issued at),令牌的签发时间;
    • 我们也可以设置过期时间:exp(expiration time);
      -会通过base64Url算法进行编码

  • signature

    • 设置一个secretKey,通过将前两个的结果合并后进行HS256的算法;
    • HMACSHA256(base64Url(header)+.+base64Url(payload), secretKey);
    • 但是如果secretKey暴露是一件非常危险的事情,因为之后就可以模拟颁发token,也可以解密token;

  • JWT原理文章参考

  • 前后端交互图理解
    在这里插入图片描述

  • POSTMAN 设置token全局共享
    在这里插入图片描述

2.1 HS256对称加密

  • HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密
const koa = require('koa');
const jwt = require('jsonwebtoken');
const koaRouter = require('@koa/router');
const app = new koa()
// npm i jsonwebtoken

const userRouter = new koaRouter({ prefix: '/users' })
userRouter.get('/login', (cxt, next) => {
	//  1. 颁发token
	const payload = { name: 'admin', password: 123456 }

	const secretKey = "aaaaaaaaaaaaaa"
	const token = jwt.sign(payload, secretKey,  { 
		 expiresIn:30
	})

	cxt.body={
		code:200,
		token:token,
		message:'登录成功'
	}
})

userRouter.get('/list', (cxt, next) => {
  //  获取客户端携带过来的token
	const authorization=cxt.headers.authorization
	const token=authorization.replace('Bearer','')
	console.log(token);
	// 2. 验证token
	try {
		const result=jwt.verify(token,escretkey)
		console.log(result);
	} catch (error) {
		cxt.body = 'token过期,没有权限访问,请重新登录'
	}

})
app.use(userRouter.routes())
app.listen(9000, () => {
	console.log('服务器启动成功~');
})

2.2 RS256非对称加密

  • RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对:标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)
  • 用非对称加密,RS256:
    • 私钥(private key):用于发布令牌;
    • 公钥(public key):用于验证令牌;
  • 使用git Bash生成一对私钥和公钥
  1. openssl
  2. genrsa -out private.key 2048
  3. rsa -in private.key -pubout -out public.key
const koa = require('koa');
const jwt = require('jsonwebtoken');
const fs = require('fs');
const koaRouter = require('@koa/router');
const app = new koa()

const pubilcKey = fs.readFileSync('./keys/public.key')
const reivateKey = fs.readFileSync('./keys/private.key')
const userRouter = new koaRouter({ prefix: '/users' })
userRouter.get('/login', (cxt, next) => {
	//  1. 颁发token
	const payload = { name: 'admin', password: 123456 }

	const token = jwt.sign(payload, reivateKey, {
		// 修改加密方式 HS256改为RS256加密
		expiresIn: 60, algorithm: 'RS256'
	})
	cxt.body = {
		code: 200,
		token: token,
		message: '登录成功'
	}
})

userRouter.get('/list', (cxt, next) => {
	//  获取客户端携带过来的token
	const authorization = cxt.headers.authorization
	const token = authorization.replace('Bearer', '')
	// 2. 验证token
	try {
		const result = jwt.verify(token, pubilcKey, {algorithms: ['RS256'] })
		console.log(result);
	} catch (error) {
		cxt.body = 'token过期,没有权限访问,请重新登录'
	}

})
app.use(userRouter.routes())
app.listen(9000, () => {
	console.log('服务器启动成功~');
})
ik i5
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie/JWT的区别和联系
weixin_43393670的博客
11-24 3242
Cookie/JWT的区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
JWT-Authentication
05-30
JWT - 身份验证 我做了学习项目。 描述 主要是这个项目进行身份验证。 有登录,注册,个人资料页面。 我正在尝试编写更好的代码 依赖关系 猫鼬 节点 加密货币 正文解析cookie 解析器 ejs 表示 jsonwebtoken 验证器(未使用) 执行程序 请确保和的NodeJS NPM你的机器上安装 克隆这个项目 在项目文件夹中创建文件夹 为secrect key和mongodb url创建一个文件,如底部代码 module.exports = { mongdbURL: 'mongodb+srv://<username>:<password>@fixcode.fmdue.mongodb.net/fixcode?retryWrites=true&w=majority', secrect: 'here will be secrect' } 打开命令行界面 进入
CookieJWT的区别
最新发布
weixin_73922932的博客
03-06 386
Cookies是一种更传统的技术,通常用于跟踪用户的会话状态。它们在客户端存储,具有较长的生命周期,并可以通过HttpOnly标志提高安全性。JWT是一种较新的技术,提供了一种更灵活、紧凑且跨域兼容的身份验证方法。它们在客户端存储,具有较短的生命周期,并通过签名确保安全性。Cookies和JSON Web Tokens(JWT)是两种常用于Web应用程序中管理用户身份验证和会话信息的技术。尽管它们都可以用于跟踪用户身份,但它们在存储位置、结构和安全性方面存在一些关键差异。
彻底搞懂Cookie、Session、JWT和Token(强烈推荐)《彻底搞懂Cookie、Session、JWT和Token|CSDN创作打卡》
weixin_46015018的博客
01-24 5157
彻底搞懂Cookie、Session、JWT和Token(强烈推荐)基于JWT实现的Token认证方案引入:http是一个无状态协议?怎么解决呢? 一、Cookie和Session **1.1 cookie 注意事项:** **1.2 cookie 重要的属性** **1.3 session 注意事项:** **1.4 Cookie 和 Session 的区别:** 二、token(令牌) **2.1 token优势** **2.2 token 的身份验证流程** 三、基于JWT实现的Token认证方案
JWT+cookie单点登录
Isonion的博客
09-01 339
Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Cookie,Session,Token和Jwt详解
weixin_53952534的博客
01-25 825
cookie,session,token和jwt的区别和联系
网络安全-CookieJWT
Saki_Python的博客
02-19 892
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
一文彻底搞懂cookie、session、token、jwt
酷奇的博客
03-02 1065
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 Token、JWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证Token,JWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、Token、JWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
session、token、cookieJWT的区别一定要懂
weixin_45709829的博客
04-07 5610
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
cookie、session、token的区别和相似点,JWT和数字签名以及签名证书的了解
weixin_54515240的博客
03-10 1608
浅谈cookie、session、token的相似与不同之处,并且对于了解过程中产生的一些疑问进行解答,例如:token为什么会更安全?为什么哈希值不可逆?什么是对称和非对称加密,数字签名是如何保证安全性的等等问题的探究
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 760
全网最详细,关于session,cookie,token的用户认证的原理与区别
Cookie、Session、Token、JWT
07-21
Cookie、Session、Token、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
jwt简单的介绍和了解
10-27
JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。 1、因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都...
djangOauth:基于ldap与jwt的统一认证系统(sso)
03-11
第三方应用解析jwt token验证有效性,并保存至cookie,每页刷新页面验证一次。 如若令牌过期,则发起(/ api / token-refresh /)令牌刷新接口,获取新的令牌。 当启用LDAP验证方式时,将会自动在数据库创建对应用户...
SpringSecurity 整合 JWT.docx
06-27
2、服务器验证登录鉴权,如果改用户合法,根据用户的信息和服务器的规则生成 JWT Token 3、服务器将该 token 以 json 形式返回(不一定要json形式,这里说的是一种常见的做法) 4、用户得到 token,存在 ...
Cookie、Session、JWT的详解
miaozy
04-10 1283
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
基于cookie的简单鉴权与JWT鉴权
reee112的博客
05-06 1055
1.基于cookie的简单登录校验 cookie鉴权在本文没有做token的加密,通过token/用户信息json键值对的方式存入redis,这样避免了session共享的问题,由于本文实现上省略了token加密,不能从cookie里解密拿到用户信息,再加上cookie有被伪造的风险,所以安全性较低. 有token加密的实现在本文JWT里有做 1.1 用户登录controler @Ap...
Cookie、Session、Token、JWT详细介绍
AN_NI_112的博客
07-02 532
Cookie、Session、Token详细介绍
Cookie,Session,Token和JWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1061
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
springsecurity jwt单点登录原理解析
07-27
Spring Security 是一个功能强大的身份验证和访问控制框架,而 JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。使用 Spring Security 和 JWT 实现单点登录可以提供安全的身份验证和无状态的会话管理。 下面是实现单点登录的基本原理: 1. 用户登录:用户通过提供用户名和密码进行认证,并且成功通过验证。 2. 生成 JWT:一旦用户通过认证,服务器会生成一个 JWT,并将其作为响应的一部分返回给客户端。 3. JWT 存储:客户端收到 JWT 后,需要将其存储在本地,通常是在客户端的本地存储或者浏览器的 Cookie 中。 4. 请求时携带 JWT:每次客户端进行请求时,需要将 JWT 添加到请求的头部(通常是 Authorization 头部),以便服务器能够验证用户的身份。 5. 验证 JWT服务器在接收到请求时,会从请求头部中提取 JWT,并进行验证。验证包括验证令牌的签名、过期时间等信息,以确保令牌的合法性。 6. 访问控制:一旦 JWT 验证成功,服务器将允许用户访问受保护的资源。 7. 单点登录:如果用户需要访问其他受保护的服务,客户端会将 JWT 携带到这些服务的请求中。服务端会对 JWT 进行验证,如果验证通过,则用户无需再次登录,即可访问其他服务。 总结起来,使用 Spring Security 和 JWT 实现单点登录的过程是:用户登录成功后,生成 JWT,并将其存储在客户端。客户端在每次请求时携带 JWT,并通过服务器的验证,以实现身份验证和访问控制。这种无状态的会话管理方式使得服务端无需存储用户的会话信息,提高了系统的可扩展性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值