前端JWT的使用

已于 2023-06-18 01:00:05 修改
阅读量1.1k 收藏 2
点赞数 1
分类专栏: 前端开发 文章标签: 前端 vue.js
于 2023-06-18 00:59:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53271997/article/details/131265678
版权
文章介绍了HTTP协议的无状态特性导致的用户认证问题,以及传统的Session认证方式在分布式和前后端分离场景下的局限性。JWT作为一种基于Token的鉴权机制,解决了这些问题,它由头部、载荷和签证三部分构成,提供了一种安全的、无状态的方式来传输和验证用户信息。文章还展示了JWT在前端登录验证中的应用实例。
摘要由CSDN通过智能技术生成

前言

       由于HTTP协定是不储存状态的,当我们透过帐号密码验证一个使用者时,下一个request请求就把刚刚的使用者忘了,即该软件程序就不知道谁是谁,我们就还需要再用户验证一次。因此为了保证软件程序的安全使用,我们就需要验证用户否处于登录状态。
       在大多数前后端分离的项目中,JWT是常见的一个认证标准,特别适合用于分布式站点的单点登录场景。JWT全称是JSON web token。是一种为了在网络应用中传递数据而创造的一种开放标准。在JWT之前,大多数的web应用是采用session认证的,前后端分离开发成为主流之后,JWT也就登上了舞台。它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

1.传统认证方式

Session认证方式
       http协议本身是一种无状态的协议,如果用户向服务器提供了用户名和密码来进行用户认证,下次请求时,用户还要再一次进行用户认证才行。因为根据http协议,服务器并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储─份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样应用就能识别请求来自哪个用户。

        通常使用传统Session认证方式下会暴露出以下问题:
        用户经过应用认证后,应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大;
        用户认证后,服务端做认证记录,如果认证的记录被保存在内存中的话,用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源。在分布式的应用上,限制了负载均衡器的能力。以此限制了应用的扩展能力;
       session是基于cookie来进行用户识别,cookie如果被截获,用户很容易受到CSRF(跨站伪造请求攻击)攻击;
       在前后端分离系统中应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session每次携带sessionid到服务器,服务器还要查询用户信息。同时如果用户很多。这些信息存储在服务器内存中,给服务器增加负担。还有就是sessionid就是一个特征值,表达的信息不够丰富。不容易扩展。而且如果你后端应用是多节点部署。那么就需要实现session共享机制。不方便集群应用。

基于Token的鉴权机制

        基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

2、JWT

JWT的构成

 一个JWT由三段字符串构成,第一段我们叫它头部(hear),第二部分被称为载荷(payload),最后一部分则叫做签证(signature)。

 头部(hear)

JWT的头部包含两部分信息:

声明使用的加密算法+声明类型

载荷(payload)

JWT的这个部分是用来存储有效信息的地方,包含有三个部分:

标准中注册的声明+公共的声明+私有的声明

签证(signature)

JWT这个部分由三部分组成:

header+payload+secret

*这部分是通过加密后的header和加密后的payload使用.连接成的字符串,再通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

前端JWT的使用

例如登录验证

instance.interceptors.request.use(config => {
    config.headers.Authorization = getToken()
    return config
}, error => {
    Promise.reject(error)
})

instance.interceptors.response.use(res => {
    let ret = res.data;
    if (ret.code == Code.SUCCESS) {
        return res;
    } else if (ret.code == Code.UNAUTH) {
        store.dispatch('logout').then(() => {
            MessageBox.confirm('账号已过期, 点击确定重新登录?', '提示', {
                confirmButtonText: '确定',
                cancelButtonText: '取消',
                type: 'warning'
              }).then(() => {
                router.push('/login');
              })
        })
    } else if (ret.code == Code.UNAUTHZ) {
        Message.error(ret.msg)
    }
    else if(ret.code == Code.ERROR){
        Message.error(ret.msg)
    }
    return Promise.resolve(res)
}, err => {
    Message.warning("请求异常")
    return Promise.reject(err)
})

与后端交互的代码

export default {
    login(username, password) {
        const data = {
            username,
            password
        }
        return request({
            url: '/login',
            method: 'post',
            data
        })
    },
    logout() {
        return request.post('/logout')
    }
感觉好怪
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JWT前端后端的各项配置(Vue3+webapi)
lgl1170479655的专栏
07-15 1024
一、后端接口:WebApi 1.appsettings.json文件 { "Logging": { "LogLevel": { "Default": "Information", "Microsoft": "Warning", "Microsoft.Hosting.Lifetime": "Information" } }, "Authentication": { "SecretKey": "JianKeEducationCRMAP
使用jwt进行身份验证demo
12-17
获取token的地址:...验证可以使用postman访问:https://localhost:44309/Paging/AuthDemo 如果请求头没有auth或值不正确,将返回错误页面,如果正确则返回ok
2024年前端最新JWT(JSON Web Token)的基本原理,2024年最新开发面试流程
2401_84447362的博客
05-13 813
总的来说,面试官要是考察思路就会从你实际做过的项目入手,考察你实际编码能力,就会让你在电脑敲代码,看你用什么编辑器、插件、编码习惯等。所以我们在回答面试官问题时,有一个清晰的逻辑思路,清楚知道自己在和面试官说项目说技术时的话就好了开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】四、HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
【Web前端JWT(JSON Web Tokens)概述
最新发布
wosixiaokeai的博客
07-10 620
JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。它基于JSON对象,并通过数字签名确保其完整性和真实性。JWT因其小巧、自包含以及易于在客户端和服务器之间传输的特性而被广泛使用于身份验证和信息交换的场景中。
【sduoj】前端JWT使用
qq_53126706的博客
10-24 4901
2021SC@SDUSC 文章目录序言传统认证方式session认证基于Token的鉴权机制JWTJWT是什么JWT的构成头部(header)载荷(payload)标准中注册的声明公共的声明私有的声明签证(signature) 序言 由于HTTP协定是不储存状态的,当我们刚刚透过帐号密码验证一个使用者时,下一个request请求就把刚刚的资料忘了。所以我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全易用,我们就需要验证用户否处于登录状态。 在大多数前后端分离的项目中,JWT是常见的一个认证标准
jwt如何使用
weixin_67465673的博客
09-17 1045
一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature)JWT结果原理图: JWT的数据结构图JWT实际结构:eyJhbGciOiJIUzI1NiJ9.它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。写成一行,就是下面的样子:Header.Payload.Signature。
JWT从0到1,小白入门(JWT在vue前端中的使用
个人为2024届在校大学生,希望分享的代码有助于各位
12-03 3841
是一种用于在Web应用程序之间安全传输信息的开放标准(RFC 7519)。它是一种基于JSON的小型身份验证和授权标准,包含了在不同系统之间传递的信息,如用户身份信息和其他元数据。
前端开源库-passport-jwt
08-29
**Passport-JWT前端身份验证的基石** 在现代Web应用中,安全性是至关重要的,尤其是在前端开发中。`Passport-JWT` 是一个专为前端开发者设计的开源库,它利用了JSON Web Token(JWT)的技术来实现高效且安全的...
前端大厂最新面试题-jwt.docx
06-06
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于前端与后端通信,尤其是在前后端分离的架构中。JWT 是一个由三个部分组成的字符串,这些部分由点号 (.) 分隔,并且每部分都经过Base64编码。 1. 头部...
Django如何使用jwt获取用户信息
09-17
Django使用JWT获取用户信息主要是通过JWT库进行配置,设置认证类,创建登录视图来获取JWT,然后在前端通过拦截器在每次请求中添加JWT作为认证信息。这种方式避免了传统Cookie和Session在分布式环境中的问题,提高了...
SpringBoot + MyBatis-plus + SpringSecurity + JWT
11-09
6. **前端处理**:前端保存JWT,每次发送API请求时将JWT放入Authorization头。 通过这样的组合,我们可以创建一个高效、安全且易于维护的Web应用,其中用户认证完全基于JWT,实现了前后端分离的无状态请求验证。...
【2023】前端JWT详解
接着奏乐接着舞的博客
04-13 3164
jwt本质上是一种令牌格式。它和终端设备无关,同样和服务器无关,甚至与如何传输无关,它只是规范了令牌的格式而已jwt由三部分组成:header、payload、signature。主体信息在payloadjwt难以被篡改和伪造。这是因为有第三部分的签名存在。
JWT令牌,前端(axiox)、后端操作
weixin_48881844的博客
04-10 1079
JWT简称JSON、Web、Token,也就是通过JSON形式作为web与应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
前端也有必要了解JWT吗?
李益
04-15 1231
什么是JWT JWT全称是JSON WEB TOKEN,是一种基于JSON的开放标准(RFC 7519),主要用于用户与服务器之间安全地传输信息。简单的说,JWT就是一种认证机制。 推荐 文章将率先在公众号「Code满满」与个人博客「李益的小站」上发布,如果本文对你有帮助,就关注一下公众号吧! 什么是认证 HTTP协议本身是一种无状态的协议,在应用程序中,用户需要输入用户名和密码来进行用户认证,获取属于用户自己的信息。但是如果每次都要用户输入用户名和密码,就太过于繁琐了;于是就有了Session认证与
JWT的基础使用
weixin_46098984的博客
09-18 1104
全称json web token,通过数字签名的方式,以json对象为载体在不同的服务器终端之间的传输信息
如何使用JWT
随我的博客
07-31 920
参考博文:https://www.jianshu.com/p/576dbf44b2ae 一、介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服...
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 9912
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
网络传入安全jwts
weixin_30481087的博客
03-19 440
使用json web token 发表于Aug 13 2014 由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是越来越喜欢干净整洁的web层,之前用jsf开发做view层的时候,用的primefaces做的界面显示,虽然prim...
vue前端解析jwt
07-27
前端中解析 JWT(JSON Web Token),你可以使用 `jsonwebtoken` 库来进行解析操作。下面是一个使用 Vue.js 的示例: 首先,确保你已经安装了 `jsonwebtoken` 库。你可以使用以下命令进行安装: ```bash npm install jsonwebtoken ``` 然后,你可以在 Vue 组件中导入 `jsonwebtoken` 并解析 JWT。这里假设你已经获取到了 JWT 字符串,可以将其存储在变量 `token` 中。 ```javascript import jwt from 'jsonwebtoken'; // ... methods: { parseJWT() { try { const decodedToken = jwt.verify(this.token, 'your-secret-key'); // 解析成功,decodedToken 中包含了 JWT 中的信息 console.log(decodedToken); } catch (error) { // 解析失败,处理错误 console.error(error); } }, }, ``` 在上面的代码中,`jwt.verify()` 方法用于验证和解析 JWT。第一个参数是 JWT 字符串,第二个参数是用来签名和验证 JWT 的秘钥。 如果解析成功,`decodedToken` 对象将包含 JWT 中的信息。你可以按照 JWT 的结构来访问其中的属性。 请注意,在实际使用中,请将 `'your-secret-key'` 替换为你自己的秘钥,并确保秘钥安全保存。 希望这个示例对你有所帮助!如果你有任何其他问题,请随时提问。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值