JWT 的认证流程

原创 已于 2023-06-29 00:22:37 修改 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #服务器 #前端

于 2023-06-28 23:56:30 首次发布

1、用户使用用户名和密码登录

2、服务器验证用户凭据

3、一旦凭据验证成功,服务器会创建一个 JWT 并返回给用户

4、用户将 JWT 存储在本地,通常是 cookie 或者 localStorage

5、用户每次向服务器发送请求时,都会在请求头中包含 JWT

6、服务器会验证 JWT ,如果验证通过,则会处理请求,返回数据

7、如果用户注销或者 JWT 过期,服务器会拒绝请求

以下是 JWT 在服务端的认证示例:

const jwt = require('jsonwebtoken');

const secret = 'your-secret-key';

// 用户登录
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  // 验证用户名和密码
  const user = authenticate(username, password);
  if (user) {
    // 创建 JWT
    const token = jwt.sign({ id: user.id }, secret);
    // 将 JWT 发送给用户
    res.json({ token });
  } else {
    res.status(401).send('Invalid credentials');
  }
});

// 用户请求资源
app.get('/resource', (req, res) => {
  const token = req.headers['authorization'];
  // 验证 JWT
  jwt.verify(token, secret, (err, decoded) => {
    if (err) {
      res.status(401).send('Invalid token');
    } else {
      // 处理请求
      res.json({ resource: 'Here is your resource' });
    }
  });
});

JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
深入浅出 JWT认证原理与实战指南
最新发布
学习和分享计算机相关知识,希望可以帮助到您
09-19 906
JWT 认证原理与实现指南 摘要:本文全面解析 JWT(JSON Web Token)技术,涵盖其结构组成、认证流程及具体实现方法。JWT 由 Header(算法/类型)、Payload(用户数据)和 Signature(防篡改签名)三部分组成,具备无状态、安全可靠的特性,广泛应用于用户认证和 API 授权场景。文章详细阐述了 JWT 认证的完整流程:用户登录→服务端签发→客户端存储→请求携带→服务端验证,并提供了完整的 Java 实现代码示例,包括依赖引入、令牌生成/解析方法及可直接使用的工具类。通过示例
JWT的大概验证流程
ly0712__的博客
10-11 795
JWT + Spring Security 安全认证流程
JWT 认证机制
qq_74114417的博客
03-22 1991
JSON Web Token(JWT认证机制是一种无状态、基于令牌的身份验证方法,广泛应用于现代Web应用和API服务。
asp.net JWT用户认证方法
sunlibo111111的专栏
10-07 1093
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串。 后端将J...
jwt认证流程和使用案例(session和token两种方式)
健康平安的活着的专栏
06-25 3220
传统session是保存在服务器内存中的,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
一文读懂JWT认证含使用教程
八戒的博客
05-29 2520
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
SpringSecurity+JWT认证流程解析
java_lujj的博客
09-17 297
Bean}这个Bean是不必可少的,Spring Security在认证操作时会使用我们定义的这个加密器,如果没有则会出现异常。@Bean}这里将Spring Security自带的authenticationManager声明成Bean,声明它的作用是用它帮我们进行认证操作,调用这个Bean的authenticate方法会由Spring Security自动帮我们做认证
SpringSecurity使用指南(一)自定义JWT认证流程
qq_34772568的博客
03-19 1134
SpringSecurity是一个非常强大的安全验证框架,它通过一个过滤器链完成了对资源的访问控制。security框架本身提供了多种验证方式,如OA,Session等,但是有些情况下还是无法满足用户的需求,故此security框架也有非常大的扩展性,它允许用户自定义认证流程,下面我们就结合security实现一个jwt认证流程。 拦截登录请求 security框架中通过UsernamePassw...
Jwt认证
在努力学习的路上
03-05 1217
jwt认证、拦截器、token过期时间
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8897
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
肝!一文讲解JWT用户认证全过程
小詹学python的博客
07-18 911
什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。JWT是一...
JWT认证
眼前的黑不是黑~
12-27 1114
JWT认证流程JWT字符串的数据格式 - 由3部分组成 头部(header).载荷(payload).签证(signature) # 例如下方就是一个加密后的完整JWT字符串 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9....
Token【JWT与传统认证流程
jinchunye的博客
04-20 281
前言:现在我们面临的一个问题就是,只要任何一个用户知道了服务端接口的地址,都可以进行访问,但是 我们希望只有登陆的用户才能够访问服务端的接口,所以我们就要加上相应的认证机制。
JWT认证原理、流程,整合springboot实战应用
写代码的渣渣苏
12-17 1022
JWT认证原理、流程,整合springboot实战应用
JWT之token认证流程
天道酬勤
03-20 671
B/S架构会话是浏览器端和服务器端之间交互的唯一凭证,如何保证会话的安全性 如cookie 、seesion token
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 3581
本博主将用优快云记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web Token(JWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
JWT认证过程
zcBaluga的博客
05-15 513
2.后端核对账号密码成功后,把用户id等其他信息作为JWT 负载,把它和头部分别进行base64编码拼接后签名,形成一个JWT(token)。因为Token是作为JSON加密的形式保存在客户端,所以JWT是跨语言的,原则上是任何web形式都支持。通过JSON形式作为在web应用中的令牌,可以在各方之间安全地把信息作为JSON对象传输。传统的token验证需要在服务端保存一份token,JWT不需要保存只需要在服务端进行验证。5.验证通过后后端使用JWT中包含的用户信息进行其他的操作,并返回对应结果。
基于Spring Security实现JWT认证流程
03-31
### 使用 Spring Security 实现 JWT 认证流程 #### 一、JWT 认证流程概述 JSON Web Token (JWT) 是一种开放标准 RFC 7519,用于在网络应用环境间安全地传输信息。它通过加密签名来验证数据的真实性,并可以附加一定的安全性。在基于 Spring Security 的项目中,JWT 被用来替代传统的会话管理方式[^1]。 典型的 JWT 流程如下: - 用户发送用户名和密码到服务器进行身份验证。 - 如果验证成功,则返回一个由服务器生成并签名的 JWT 给客户端。 - 客户端将此令牌存储起来(通常保存在本地存储或 Cookie 中),并在后续请求头中的 `Authorization` 字段附带该令牌。 - 每次接收到带有令牌的请求时,服务器都会解析并验证其有效性以及签名校验。 #### 二、Spring Security 基本配置 为了集成 Spring Security 和 JWT,需要创建几个核心组件: ##### 1. 配置类 编写一个继承自 `WebSecurityConfigurerAdapter` 的 Java Config 类来进行全局的安全设置。在此过程中需指定哪些 URL 不受保护可以直接访问(如登录接口)、其余路径则强制要求提供有效的 token 才能继续操作[^3]。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { private final JwtTokenProvider jwtTokenProvider; public SecurityConfig(JwtTokenProvider jwtTokenProvider){ this.jwtTokenProvider = jwtTokenProvider; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/auth/login").permitAll() // 登录接口无需认证 .anyRequest().authenticated(); // 其他所有请求都需要经过认证 http.apply(new JwtTokenFilterConfigurer(jwtTokenProvider)); } } ``` ##### 2. 自定义过滤器 构建专门处理 HTTP 请求头部携带的 Bearer Tokens 的 Filter 来提取用户的凭据信息。 ```java public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { private final JwtTokenProvider jwtTokenProvider; public JwtTokenAuthenticationFilter(JwtTokenProvider jwtTokenProvider){ this.jwtTokenProvider = jwtTokenProvider; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException{ String token = resolveTokenFromRequest(request); if(token != null && jwtTokenProvider.validateToken(token)){ Authentication auth = jwtTokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(auth); } filterChain.doFilter(request,response); } private String resolveTokenFromRequest(HttpServletRequest request){ String bearerToken = request.getHeader("Authorization"); if(bearerToken!=null&&bearerToken.startsWith("Bearer ")){ return bearerToken.substring(7,bearerToken.length()); } return null; } } ``` #### 三、JWT 生成与解析 当用户提交正确的凭证后,应该生成一个新的 JSON Web Token 并将其作为响应的一部分返回给前端应用程序。这个过程涉及到算法的选择、密钥管理和实际编码逻辑等方面的内容[^2]。 下面展示了一个简单的例子说明如何利用 JJWT 库制作这样的 tokens: ```java @Service public class JwtTokenProvider { private static final long EXPIRATION_TIME = 864_000_000; // 有效期一天 private static final String SECRET_KEY = "SecretKeyToSignOurTokens"; public String createToken(String username,List<String> roles){ Claims claims = Jwts.claims(); claims.put("roles",roles); Date nowDate=new Date(); return Jwts.builder() .setClaims(claims) .setSubject(username) .setIssuedAt(nowDate) .setExpiration(new Date(System.currentTimeMillis()+EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512,SECRET_KEY.getBytes()) .compact(); } public boolean validateToken(String token){ try{ Jws<Claims> jws=Jwts.parserBuilder(). setSigningKey(SECRET_KEY.getBytes()).build().parseClaimsJws(token); return !jws.getBody().getExpiration().before(new Date()); }catch(Exception e){return false;} } public Authentication getAuthentication(String token){ Claims body=Jwts.parserBuilder(). setSigningKey(SECRET_KEY.getBytes()).build().parseClaimsJws(token).getBody(); List<GrantedAuthority> authorities= ((List<?>)body.get("roles")).stream().map(role->new SimpleGrantedAuthority((String)role)).collect(Collectors.toList()); User principal=new User(body.getSubject(), "",authorities ); return new UsernamePasswordAuthenticationToken(principal,null ,authorities ); } } ``` #### 四、实现用户登录和认证 最后一步就是开发具体的控制器动作以支持上述提到的功能需求——即允许外部调用者传入他们的账户详情从而换取相应的 access_token 。这里给出了一种可能的设计方案: ```java @RestController @RequestMapping("/auth") public class AuthController { private final UserService userService; private final PasswordEncoder passwordEncoder; private final JwtTokenProvider jwtTokenProvider; public AuthController(UserService userService,PasswordEncoder passwordEncoder,JwtTokenProvider jwtTokenProvider ){ this.userService=userService; this.passwordEncoder=passwordEncoder; this.jwtTokenProvider=jwtTokenProvider ; } @PostMapping("/login") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest){ Optional<UserEntity> userOptional=this.userService.findByUsername(loginRequest.getUsername()); if(!userOptional.isPresent()){ throw new BadCredentialsException("Invalid Credentials!"); } UserEntity user=userOptional.get(); if(this.passwordEncoder.matches(loginRequest.getPassword(),user.getPassword())){ List<String> roles=user.getRoles().stream().map(Role::getName).collect(Collectors.toList()); String accessToken=this.jwtTokenProvider.createToken(user.getUsername(),roles); Map<Object,Object> model=new HashMap<>(); model.put("access_token",accessToken); return ResponseEntity.ok(model); }else{ throw new BadCredentialsException("Invalid Credentials!"); } } } class LoginRequest{ private String username; private String password; // Getters & Setters omitted for brevity. } ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值