JWT(json web token)

. . . . .2023-08-19 13:21

官网:https://jwt.io/
峰哥链接:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

一. JWT理论介绍

客户端登录,服务器认证后,生成一个json对象,后续通过json进行通信。

什么是jwt

JWT只是缩写,全拼则是 JSON Web Tokens ,是目前流行的跨域认证解决方案,一种客户端保存登录状态的解决方案,一种基于JSON的、用于在网络上声明身份的令牌(token)。

JWT结构:

一个token分为3部分:

  • 头部(header) - 生成token的元数据,比如加密算法、数据类型
  • 载荷(payload) - 保存的真正的数据
  • 签名(signature)

3个部分用"."分隔,如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

header:

JWT的头部分是一个JSON对象,描述元数据,通常是:

json 复制代码 
{
  "typ": "JWT",
  "alg": "HS256"
}
  • typ 为声明类型,指定 "JWT"
  • alg 为加密的算法,默认是 "HS256"
payload:

载荷(payload)是数据的载体,用来存放实际需要传递的数据信息,也是一个JSON对象。

JWT官方推荐字段:

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

也可以使用自定义字段,如:

js 复制代码 
{
    "username": "vist",
    "role": "admin"
}
signature:

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以作为token返回给用户了。

客户端得到的签名:

js 复制代码 
header.payload.signature
jwt+rsa非对称加密

token是识别客户端身份的唯一标示,如果加密不够严密,被人伪造那就完蛋了。

采用何种方式加密才是安全可靠的呢?

我们将采用JWT + RSA非对称加密

补充:

Base64URL:

加密/解密 工具:http://www.metools.info/code/c81.html

使用方式:

  • /api?token=xxx
  • cookie 写入token
  • storage写入token,请求头添加:Authorization: Bearer <token>

二. 通过JWT生成token

js 复制代码 
// 在服务端生成token
router.post('login', async ctx => {
	const { userName, userPwd } = ctx.request.body;
	const res = await User.findOne({
		userName,
		userPwd
	})
	// 第一个参数:需要保存的数据
	// 第二个参数:签名使用的秘密
	// 第三个参数:额外配置
	const token = jwt.sign({
		data: res
	}, 'test', { expiresIn: 30 })
	const data = res._doc;
	if (res) {
		data.token = token;
		ctx.body = utils.success(data);
	} else {
		
	}
})
js 复制代码 
// 在服务端认证token
router.post('getData', async ctx => {
	const token = ctx.request.headers.authorization.split(' ')[1];
	const payload = jwt.verify(token, 'test');
	ctx.body = payload;
})

三. token拦截处理

参考链接:JWT

相关推荐
秃了也弱了。15 分钟前
python修复json神器:json-repair包(用于大模型返回json不规范)
python·json
I'm Jie3 小时前
【已解决】SqlAlchemy 插入 MySQL JSON 字段时 None 变为 ‘null‘ 字符串,WHERE IS NULL 失效
数据库·python·mysql·json·fastapi·sqlalchemy
Hui Baby5 小时前
Spring Boot 中使用 JSONPath 高效处理 JSON 数据
spring boot·python·json
Hui Baby5 小时前
SpringBoot + JSON 字段 + MySQL 8.0 函数索引:灵活存储半结构化数据,查询不慢
spring boot·mysql·json
Dxy12393102161 天前
Python 将 JSON 字符串转换为字典
前端·python·json
一个天蝎座 白勺 程序猿2 天前
破译JSON密码:KingbaseES全场景JSON数据处理实战指南
数据库·sql·json·kingbasees·金仓数据库
叫我龙翔2 天前
【计网】从零开始掌握序列化 --- JSON实现协议 + 设计 传输\会话\应用 三层结构
服务器·网络·c++·json
Ancelin安心2 天前
FastJson反序列化和Shiro漏洞
java·运维·开发语言·安全·web安全·json·idea
倔强的石头1062 天前
JSON 数据看得头大?这个工具转成图表后,远程同事也能一起分析
json·cpolar
CaracalTiger2 天前
如何解决Unexpected token ‘<’, “<!doctype “… is not valid JSON 报错问题
java·开发语言·jvm·spring boot·python·spring cloud·json
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03爬虫逆向之观安(观镜WEB应用安全防护系统)04openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南05BongoCat - 跨平台键盘猫动画工具06HTB 赛季10 - Pterodactyl - user07UV安装并设置国内源08243 行 microGPT:把“训练 + 推理”拆到骨头里09openclaw配置教程(linux+局域网ollama)10openclaw 配置飞书 报错 应用未建立长连接