关于可以实现前端跨域请求后端接口的JWT认证机制

最新推荐文章于 2024-04-11 15:53:52 发布
最新推荐文章于 2024-04-11 15:53:52 发布
阅读量724 收藏 3
点赞数 2
文章标签: json node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48851118/article/details/108763654
版权

JWT是目前最流行的跨域认证解决方案

JWT的工作原理

当用户在客户端操作个人信息第一次提交账号和密码到服务端时,服务器端会验证账号和密码,验证通过后会将用户的信息对象进行加密,加密后生成Token字符串,此时服务器会将生成的Token字符串发送给客户端,把Token字符串存储在客户端的LocalStorage或SessionStorage中。
当客户端再一次与服务端通信发起请求时,都会携带这个Token字符串,并通过请求头的Authorization字段,将Token发送给客户端,在服务器会把Token字符串进行解密,还原成用户输入的信息对象,并进行用户的身份认证,认证成功后,服务器会对当前用户生成特定的响应内容,把当前用户对应的页面内容响应给浏览器。
在这里插入图片描述

Bearer Token(Token 令牌)

了解了JWT的工作原理后,我们要知道Bearer Token(Token 令牌)的概念:
为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播的,token表示令牌,简称JWT)

JWT的组成

JWT由三部分组成: Header(头部)、Payload(有效荷载)、Signature(签名) 中间用点分隔

  • Payload 载荷部分是真正的用户信息,它是用户信息经过加密之后生成的字符串
    标准中注册的声明(建议但不强制使用):

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

  • HeaderSignature 是安全性相关的部分,只是为了保证 Token 的安全性

一段Token字符串如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaWF0IjoxNjAwODY0MjI4LCJleHAiOjE2MDA4NjQ4Mjh9.fcLkE5FH4u5fLVCvNXM4xFXxFj3JNaoLzpe7qdz8fug

在 express 中验证 JWT的认证机制

下面我们在erpress中测试JWT的认证机制:
在Node.js中测试,首先我们要安装两个加密和解密JWT相关的包:

  • jsonwebtoken 用于生成 JWT 字符串
  • express-jwt 用于将 JWT 字符串解析还原成 JSON 对象

TODO_01:安装并导入 JWT 相关的两个包,分别是 jsonwebtoken 和 express-jwt

const jwt = require('jsonwebtoken') //对用户数据进行jwt加密
const expressJWT = require('express-jwt') //解密

TODO_02:定义 secret 密钥,建议将密钥命名为 secretKey 密钥字符可以随便设置

var secretkey = 'dfhdsafdsgfhf' //密钥 提高安全性

TODO_03:在登录成功之后,调用 jwt.sign() 方法生成 JWT 字符串,并通过 token 属性发送给客户端

res.send({
    status: 200,
    message: '登录成功!',
    token: 'Bearer' + jwt.sign({ username: userinfo.username }, secretkey, { expiresIn: '600s' })
  })

TODO_04:注册将 JWT 字符串解析还原成 JSON 对象的中间件

app.use(expressJWT({ secret: secretkey, algorithms: ['HS256'] }).unless({ path: [/^\/api\//] }))

TODO_05:使用 req.user 获取用户信息,并使用 data 属性将用户信息发送给客户端

res.send({
    status: 200,
    message: '获取用户信息成功!',
    data: req.user // 要发送给客户端的用户信息
  })

TODO_06:使用全局错误处理中间件,捕获解析 JWT 过期失败后产生的错误

app.use((err, req, res, next) => {
  //token解析失败导致的错误
  if (err.name === 'UnauthorizedError') {
    return res.send({ status: 401, message: '无效的token' })
  }
  //其他原因导致的错误
  res.send({ status: 500, message: '未知错误' })
})

注意:secretkey是保存在服务器端的,jwt的签发生成也是在服务器端的,secretkey就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secretkey, 那就意味着客户端是可以自我签发jwt了。

postman中测试JWT结果

在这里插入图片描述
在这里插入图片描述

码媛小洋
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端跨域+后端跨域.zip
02-15
除了CORS,还可以采用JSON Web Token(JWT)或者OAuth 2.0等授权方式,通过传递认证信息而非依赖Cookie来处理跨域问题。这些方法更适用于需要安全验证的场景。 总之,前后端跨域是Web开发中的关键技术点,Vue.js和...
jwt超时时间 angular expiredat_JWT
weixin_39726379的博客
11-25 733
# JWT认证## 使用vue-cli3.0创建vue项目```bashvue create <project-name>```可以通过vue ui创建项目/管理项目依赖vue ui## 配置vue-config.js```javascriptlet path = require('path')module.exports = { publicPath:process.env.N...
jwt
qq_43697072的博客
04-23 1368
jwtjsonwebtoken的简称,用来生成token。在登陆状态验证完成时发送给前台一个token,之后前台的请求都要带着token,后台验证其token的正确性及有效性之后才会回应其数据,在用户和服务器端之间安全的传递消息。 jwt实际是一个字符串,由三部分组成,头部,数据和签名。 生成token const jwt = require('jsonwebtoken') 我们在页面引入jso...
认证授权方案之JwtBearer认证
dz45693的专栏
06-19 7390
1.前言 回顾:认证方案之初步认识JWT 在现代Web应用程序中,即分为前端后端两大部分。当前前后端的趋势日益剧增,前端设备(手机、平板、电脑、及其他设备)层出不穷。因此,为了方便满足前端设备与后端进行通讯,就必须有一种统一的机制。所以导致API架构的流行。而RESTful API这个API设计思想理论也就成为目前互联网应用程序比较欢迎的一套方式。 这种API架构思想的引入,因此,我们就需要考虑用一种标准的,通用的,无状态的,与语言无关的身份认证方式来实现API接口认证。 HTTP提供了一套标准
关于JWT
lxk116688的博客
05-09 789
本文借鉴JWT详解 什么是JWT? 在介绍JWT之前,我们先来回顾一下token进行用户验证单的流程: 1.客户端使用用户名和密码请求登录 2.服务端收到请求,验证用户名和密码 3.验证成功后,服务端会签发一个token,在把这个token返回给客户端 4.客户端收到token后可以把他存储起来,比如放到cookie中 5.客户端每次向服务器请求资源时,需要携带服务端签发的token,可以在cookie或者header中携带 6.服务端收到请求之后,去验证客户端请求里面带着的token,如果验证成功,就向
使用jwt方式的接口访问
menxinziwen的博客
04-05 2636
要使用jwt必须有相应jar包 maven项目加入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4....
浅谈基于Token的WEB后台认证机制
08-26
Token认证机制实现可以使用JSON Web Token(JWT)来实现JWT是一个非常轻巧的规范,允许我们使用JWT在用户和服务器之间传递安全可靠的信息。JWT的组成包括头部、载荷与签名。其中,载荷(Payload)是 Token 的...
ocelot网关+jwt身份认证
06-09
例如,Ocelot可以处理来自前端的请求,将它们路由到适当的后端微服务,并且可以处理跨域、安全策略等问题,减轻了微服务的负担。 接下来,我们来看JWT身份认证JWT是一种轻量级的安全身份验证标准,用于在网络应用...
thinkphp+jwt实现后端分离
03-15
4. **跨域认证**:JWT可以在多个服务之间共享,实现单点登录(SSO)功能。 在本项目中,前后端交互流程可能是这样的: 1. **用户登录**:前端提交用户名和密码到后端,Thinkphp6验证后,生成一个包含用户信息的JWT...
java常见问题前端js和后端
10-08
JWTJSON Web Tokens)是一种安全的身份验证机制,Java后端生成JWT前端保存在Cookie或LocalStorage中,每次请求携带此令牌以验证用户身份。 4. **API设计**:后端需要提供RESTful API供前端调用,遵循HTTP协议的...
JWT从0到1,小白入门(JWT在vue前端中的使用)
个人为2024届在校大学生,希望分享的代码有助于各位
12-03 3773
是一种用于在Web应用程序之间安全传输信息的开放标准(RFC 7519)。它是一种基于JSON的小型身份验证和授权标准,包含了在不同系统之间传递的信息,如用户身份信息和其他元数据。
JWT令牌,前端(axiox)、后端操作
weixin_48881844的博客
04-10 1070
JWT简称JSON、Web、Token,也就是通过JSON形式作为web与应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
前端JWT的使用
weixin_53271997的博客
06-18 1095
主要介绍前端部分JWT的使用
JWT的基础使用
weixin_46098984的博客
09-18 1103
全称json web token,通过数字签名的方式,以json对象为载体在不同的服务器终端之间的传输信息
前端请求携带Token,解决JWT问题
个人为2024届在校大学生,希望分享的代码有助于各位
11-29 1077
请求携带Token解决JWT问题
springBoot集成jwt实现用户登录验证,请求接口验证
最新发布
Legend_Young的博客
04-11 203
2.配置类InterceptorConfig 类继承 WebMvcConfigurationSupport 3.创建JwtInterceptor 继承 HandlerInterceptor 前端存登录生成的token,访问接口时获取前端请求头携带的token
http认证JWT
weixin_45346239的博客
07-04 922
http认证JWT
react如何将jwt放入请求头中请用代码展示
weixin_35752122的博客
02-15 205
在React中,可以使用fetch API发送HTTP请求并将JWT令牌放入请求头中。以下是一个示例: const token ="myJwtToken"; // 假设这是从某处获得的JWT令牌 fetch(url, { method: "GET", headers: { Authorization: `Bearer ${token}` } }) .then(respon...
前端登录验证,页面跳转,携带headers token引发的思考和尝试
热门推荐
weixin_30512785的博客
05-18 1万+
目录 1 前言 2 我的实现方式与存在的问题 3 我想到的解决方案 3.1 前端跳转时携带headers{'token': token} 不就行了(经验证不可行) 3.2 前端跳转封装请求,携带headers{'token': token},后端请求转发 (经验证不可行) 3.3 放弃后端对/pages/admin/** 下静态页面的拦截,在前端做登录检测和跳转 4 ...
前端后端如何使用jwt进行token校验
06-07
JWTJSON Web Token)是一种广泛使用的跨域认证方案,它可以在前端后端之间进行安全的token传递和校验。下面是前端后端如何使用JWT进行token校验的一般步骤: 1. 前端在用户登录成功后,将用户的身份信息(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值