JWT(json web token)

已于 2023-08-18 14:09:59 修改
阅读量117 收藏
点赞数
分类专栏: Node 软件工程 文章标签: json
于 2023-08-13 19:11:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yexudengzhidao/article/details/132263191
版权

官网:https://jwt.io/
峰哥链接:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

一. JWT理论介绍

客户端登录,服务器认证后,生成一个json对象,后续通过json进行通信。
在这里插入图片描述

什么是jwt

JWT只是缩写,全拼则是 JSON Web Tokens ,是目前流行的跨域认证解决方案,一种客户端保存登录状态的解决方案,一种基于JSON的、用于在网络上声明身份的令牌(token)。

JWT结构:

一个token分为3部分:

  • 头部(header) - 生成token的元数据,比如加密算法、数据类型
  • 载荷(payload) - 保存的真正的数据
  • 签名(signature)

3个部分用“.”分隔,如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

header:

JWT的头部分是一个JSON对象,描述元数据,通常是:

{
  "typ": "JWT",
  "alg": "HS256"
}
  • typ 为声明类型,指定 “JWT”
  • alg 为加密的算法,默认是 “HS256”
payload:

载荷(payload)是数据的载体,用来存放实际需要传递的数据信息,也是一个JSON对象。
JWT官方推荐字段:

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

也可以使用自定义字段,如:

{
    "username": "vist",
    "role": "admin"
}
signature:

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
base64UrlEncode(header) + “.” +
base64UrlEncode(payload),
secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以作为token返回给用户了。

客户端得到的签名:

header.payload.signature
jwt+rsa非对称加密

token是识别客户端身份的唯一标示,如果加密不够严密,被人伪造那就完蛋了。
采用何种方式加密才是安全可靠的呢?
我们将采用JWT + RSA非对称加密

补充:
Base64URL:
在这里插入图片描述

在这里插入图片描述

加密/解密 工具:http://www.metools.info/code/c81.html

使用方式:
  • /api?token=xxx
  • cookie 写入token
  • storage写入token,请求头添加:Authorization: Bearer <token>

二. 通过JWT生成token

// 在服务端生成token
router.post('login', async ctx => {
	const { userName, userPwd } = ctx.request.body;
	const res = await User.findOne({
		userName,
		userPwd
	})
	// 第一个参数:需要保存的数据
	// 第二个参数:签名使用的秘密
	// 第三个参数:额外配置
	const token = jwt.sign({
		data: res
	}, 'test', { expiresIn: 30 })
	const data = res._doc;
	if (res) {
		data.token = token;
		ctx.body = utils.success(data);
	} else {
		
	}
})

// 在服务端认证token
router.post('getData', async ctx => {
	const token = ctx.request.headers.authorization.split(' ')[1];
	const payload = jwt.verify(token, 'test');
	ctx.body = payload;
})

三. token拦截处理

参考链接:JWT

. . . . .
关注
专栏目录
JWTJson Web Token
每天学习一点点,成长一小步
09-17 457
JWT 产生背景 客户端通过调用服务端的接口,访问服务端业务数据,但是,一般的数据并非所有的用户都有权限去访问。因此,为了保证数据的安全性,在访问者访问数据时需要验证此次请求是否有足够的权限去访问此数据,也就是对访问者进行鉴权。 由于HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,所以这就导致我们必须再次认证。 为了解决以上问题,目前有两种方式,如下: 基于服务器的身份认证 基于Token的身份认证 1.1 传统基于服务的认证方式 传统的做法是将已经
JWTJSON Web Token
weixin_63541561的博客
03-27 1093
是一种开放标准,用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。总结来说,使用 JWT 相较于传统的基于会话的认证机制,可以减少服务器存储开销和管理复杂性,实现跨域支持和水平扩展,并且更适应无状态和微服务架构。前端:存储在浏览器的。
JWT JSON Web Token 阮一峰老师
weixin_43065507的博客
08-06 1175
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 记录一下JWT课程
JWT json web token
qq1195566313的博客
06-25 2429
当接收到请求时,从请求头中获取存储的 JWT(通过 req.headers.authorization),并使用 jsonwebtoken 的 verify 方法验证 JWT 的有效性。如果匹配,则返回登录成功的 JSON 响应,并使用 jsonwebtoken 的 sign 方法生成一个 JWT,其中包含用户的 ID 信息,并设置了过期时间为 24 小时。这段代码实现了基本的用户登录验证和通过 JWT 鉴权的接口,在登录成功后生成的 JWT 中包含了用户的 ID 信息,从而在后续请求中进行验证和授权。
JWTJSON WEB TOKEN)详解
yjp1240201821的博客
08-24 1633
JWTJSON WEB TOKEN),本文主要详细讲解了jwt,从其定义、token的理解、结构、使用等等帮助深刻理解jwt
JWTJson Web Token)详解
Vinjcent
09-09 1427
JSON Web TokenJWT)is an open standard()that defines a compact and self-contained way for securely transmitting information between parties as a JSON object.This information can be verified and trusted because it is digitally signed. JWTs can be signed us
什么是 JWTJson Web Token
wjiaman
10-27 1217
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
JWTJson Web Token)在.NET Core中的使用
浅尝辄止的博客
07-06 332
登录成功时生成JWT字符串。
什么是 JWT -- JSON WEB TOKEN
学Java,找哪吒
04-02 2125
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。 三、
什么是JWT Json web token (JWT),它的起源与应用一文解读!
Lonelypatients°的博客
03-25 774
JWT JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 (RFC 7519) 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。...
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWTJSON Web Token):JWT的常见问题与解决方案.docx
最新发布
08-28
JWTJSON Web Token):JWT的常见问题与解决方案.docx
npm及.npmrc文件
EmotionComputer
11-15 8973
npm作为node开发过程中的必备工具,长期使用之后,您可能会想:这些全局安装的node包都放在硬盘里面的哪个地方?配置文件.npmrc文件在哪里?node包的缓存位置在哪里?本文讲述npm相关的这些配置信息。如果您需要深入理解node相关的代码逻辑,本篇内容就是你需要的基础知识教程。 1. 如何快捷修改.npmrc配置文件? .npmrc文件,就是npm的配置文件。当然,寻找这个文件的目的,多数是为了修改.npmrc文件内容。但npm提供了方便快捷的修改方式,不知道这个文件的位置,其实也是可以修改的。命令
npm start 和 npm run start的关系以及npm run start传递参数
EmotionComputer
03-24 8732
npm start和 npm run start是等效关系。 在一个npm管理项目中,一般默认有start的定义,且会经常使用,所以就在npm执行中通过npm start简化了npm run start的写法,类似的还有npm stop、npm test等等。而其他的一些不太通用的命令项则只能通过npm run <命令项>的形式执行。 npm start 传递参数与直接node xx.js 传递参数的区别: 在执行node xx.js 命令时,如果想传递参数, node xx.js --a --
peerDependencies WARNING问题剖析
EmotionComputer
04-15 7294
peerDependencies是npm一个比较早的概念,以前一直没有注意过,因为它主要是跟插件的开发相关,直到最近负责做一些插件开发,才接触到这个东西。 我们对dependencies和devDependencies应该都很熟悉了,但是除了它们两个以外,package.json里还可以配置一个叫peerDependencies的配置。 那么这个peerDependencies配置有啥作用呢?下面...
npm install策略
EmotionComputer
12-09 4154
npm install 和 npm ci 一. npm install npm install 更新策略: 执行npm install的时候,会先比较package.json和package-lock.json, 如果package-lock.json里面的版本符合package.json的要求,那么就会安装package-lock.json的版本;那么,这个内容是从哪里来的呢?答案是优先从.npmrc里来,即缓存里。同时安装缓存文件里的版本更新package-lock.json; 如果不符合,那么就会安
node编程常用方法
EmotionComputer
07-06 2607
node之glob模块
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = datetime.datetime.utcnow() + datetime.timedelta(minutes=30) # 定义payload payload = { 'user_id': '123456', 'username': 'john', 'exp': expire_time } # 生成token jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') print(jwt_token) ``` 上述代码中,我们使用了 pyjwt 库来生成 JWT Token。它的 encode() 方法接收三个参数:payload、密钥和算法。payload 是一个字典,包含我们想要在 Token 中存储的信息,例如用户ID、用户名、过期时间等等。密钥是一个字符串,用于加密 Token。算法是指用于加密 Token 的算法,这里我们选择了 HS256。 3. 验证JWT Token ```python import jwt # 定义Token jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcm5hbWUiOiJqb2huIiwiZXhwIjoxNjMxMzEwMDUzfQ.XsDEjcd7jH8qC-6pZlWjZaFvDz-pT8NvQYrWb8I3-5c' # 验证Token try: decoded_token = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) print(decoded_token) except jwt.ExpiredSignatureError: print('Token已过期') except jwt.InvalidTokenError: print('无效的Token') ``` 上述代码中,我们使用了 pyjwt 库的 decode() 方法来验证 Token。它接收三个参数:Token、密钥和算法。如果 Token 有效,则返回包含信息的字典。如果 Token 过期或无效,则会引发 jwt.ExpiredSignatureError 或 jwt.InvalidTokenError 异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

. . . . .

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值