jwt原理及简单实现

最新推荐文章于 2025-06-15 13:03:50 发布
最新推荐文章于 2025-06-15 13:03:50 发布
阅读量1.9k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: node.js 文章标签: jwt jsonwebtoken node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/samfung09/article/details/86533421
本文探讨了cookies和session的不足,如安全性问题、跨域限制和性能影响,并介绍了JWT的优势,如减轻服务器压力、解决跨域问题。同时,阐述了JWT的构成(head、payload、sign)和验证过程,提供了基础的JWT生成与解析的Node.js代码示例,展示了如何在后台服务器部分实现JWT的验证功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

cookies、session和jwt的一些优缺点

先来说说cookies和session实际应用中的一些不足

  • 【缺点】cookies的安全性不好,攻击者可以通过获取本地cookies进行欺骗或者利用cookies进行CSRF攻击。
  • 【缺点】使用cookies时,在多个域名下,会存在跨域问题。
  • 【缺点】session在一定的时间里,需要存放在服务端,因此当拥有大量用户时,也会大幅度降低服务端的性能。
  • 【缺点】当有多台机器时,如何共享session也会是一个问题,也就是说,用户第一个访问的时候是服务器A,而第二个请求被转发给了服务器B,那服务器B如何得知其状态。

jwt

  • 【优点】使用JWT不需要后端进行记录,减轻服务器压力,每个token都是独立的。
  • 【优点】jwt不存在跨域问题,后台生成token返回到前台,前台保存到本地,每次请求在请求头携带token给后台进行验证即可。
  • 【缺点】token生成和验证都需要后台计算,而且由于每次向服务器发起请求都要携带token,太大了会造成请求缓慢。
  • 【中性】session比JWT好的地方在于在请求时浏览器会自动带http头部带上cookie,并且在用户持续使用时会不断地刷新session的过期时间,当浏览器关闭时自动清除session。相比之下JWT本身没法做到随着用户的使用而更新或手动清除,只能等自动过期

这里主要参考文章1  文章2

 

jwt实现

分析

编码:一个token是一串base64字符,大概分成head、payload、sign三部分,这三部分以  分割。其中head记录的是加密算法,payload记录的是你定义的一些信息,sign则是head(base64字符) + payload(base64字符) + 秘钥的加密base64字符。

解码:在payload保存过期时间,解码时判断是否过期。head(base64字符) + payload(base64字符) + 秘钥再加密看是否等于sign,不等于则被改动过。

代码实现

首先准备两个转换base64字符的函数

// 普通字符转base64字符
function toBase64(str){
    return new Buffer(str).toString('base64');
}
// base64字符转普通字符
function fromBase64(str){
    return new Buffer(str, 'base64').toString();
}

签名加密函数

const crypto = require('crypto');
/**
 * @param {String} str 要加密的字符串
 * @param {String} jwtSecretKey 秘钥
 * @method 签名
 */
function sign(str, jwtSecretKey){
    return crypto.createHmac('sha256', jwtSecretKey).update(str).digest('base64');
}

token生成函数

函数参数设计:

  • 第一个参数是自定义的一些要存储的信息,比如 {username: 'dsa'}
  • 第二个参数是秘钥(这是最重要的,不可泄露)
  • 第三个参数是一些其他选项,比如token最大时效(必填的){maxAge: 1 * 60 * 1000}
/**
 * @param {Object} payload 自定义信息
 * @param {String} jwtSecretKey 秘钥
 * @param {Object} options 其他选项
 * @method 生成token
 */
function encode(payload, jwtSecretKey, options){
    // token头部,加密算法
    let headPart = toBase64(JSON.stringify({"alg": "sha256","typ": "JWT"}));
    // token信息内容部分,自定义的信息
    payload.iat = Date.now();   //token生成时间
    payload.exp = Date.now() + options.maxAge;  //token过期时间
    let payloadPart = toBase64(JSON.stringify(payload));
    // token签名部分
    let signPart = sign(`${headPart}.${payloadPart}`, jwtSecretKey);
    return `${headPart}.${payloadPart}.${signPart}`;
}

解析token函数

/**
 * @param {String} token 前台传来的token
 * @param {String} jwtSecretKey 秘钥
 * @method 解析token
 * @return {Boolean} 返回布尔值
 */
function decode(token, jwtSecretKey){
    // 通常前台传过来的token字符串前面都是加上'Bearer '
    let [headPart, payloadPart, signPart] = token.split(' ')[1].split('.');
    let payload = JSON.parse(fromBase64(payloadPart));
    // 如果token过期了,return false
    if(Date.now() > payload.exp) return false;
    // 如果token被改过,return false
    if(sign(`${headPart}.${payloadPart}`, jwtSecretKey) !== signPart) return false;
    return true;
}

 

后台服务器部分

这里我就不使用任何框架了,直接用Node.js原生撸,前台则使用postman测试。

先来登录获取token

const http = require('http');
const url = require('url');
const jwt = require('./jwt');
// jwt秘钥
const jwtSecretKey = 'lala';

http.createServer((req, res) => {
    let {pathname} = url.parse(req.url);
    // 前台登录
    if(pathname === '/login'){
        let chunkArr = [];
        req.on('data', chunk => {
            chunkArr.push(chunk);
        })
        req.on('end', () => {
            let data = JSON.parse(Buffer.concat(chunkArr).toString());
            // 如果登录成功,就给前台返回一个token
            if(data.username === 'dsa' && data.pwd === '321'){
                // 生成token
                let token = jwt.encode({
                    username: 'dsa'
                }, jwtSecretKey, {
                    maxAge: 1*60*1000    //最大时效1分钟
                });
                res.setHeader("Content-Type", "application/json");
                res.end(JSON.stringify({
                    code: 0,
                    msg: '登录成功',
                    data: {
                        token
                    }
                }))
            }
        })
    }
}).listen(8888, () => {
    console.log('server listening on port 8888');
})

用postman请求

前台访问 /home 进行token验证

const http = require('http');
const url = require('url');
const jwt = require('./jwt');
// jwt秘钥
const jwtSecretKey = 'lala';

http.createServer((req, res) => {
    let {pathname} = url.parse(req.url);
    // 前台登录
    if(pathname === '/login'){
        let chunkArr = [];
        req.on('data', chunk => {
            chunkArr.push(chunk);
        })
        req.on('end', () => {
            let data = JSON.parse(Buffer.concat(chunkArr).toString());
            // 如果登录成功,就给前台返回一个token
            if(data.username === 'dsa' && data.pwd === '321'){
                // 生成token
                let token = jwt.encode({
                    username: 'dsa'
                }, jwtSecretKey, {
                    maxAge: 1*60*1000    //最大时效1分钟
                });
                res.setHeader("Content-Type", "application/json");
                res.end(JSON.stringify({
                    code: 0,
                    msg: '登录成功',
                    data: {
                        token
                    }
                }))
            }
        })
    }else if(pathname === '/home'){    //访问home需要验证token
        let token = req.headers.authorization;
        console.log(typeof token, token);
        // 如果没有token或者token验证错误
        if(!token || !jwt.decode(token, jwtSecretKey)){
            res.statusCode = 401;
            res.setHeader("Content-Type", "application/json");
            res.end(JSON.stringify({
                code: 1,
                msg: 'No authority'
            }))
        }else{
            res.end('Hello World');
        }
    }
}).listen(8888, () => {
    console.log('server listening on port 8888');
})

如果token验证错误

如果token验证通过

JWT实现
Bep_的博客
10-27 1054
JWT jwt组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名(xxx.yyy.zzz)。 Header:头部,通常头部有两部分信息: ​ 声明类型type,这里是JWT(type=jwt密算法,自定义(rs256/base64/hs256) 我们会对头部进行base64密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息-userid,username(注意,这里因为采用base64密,可解密,因此不要存放敏感信
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3338
首先从用户的登录原理实现讲起,然后引申出JWT的登录方式,在详细的讲解了JWT原理之后我们会通过案例讲解JWT是如何保存用户信息。
JWT实现原理
weixin_45640168的博客
10-16 1602
JWT实现原理一、传统的session流程二、JWT简介以及实现原理三、 一、传统的session流程  1.浏览器发起请求登陆  2.服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie  3.浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器  4.服务器发现 Cookie 中有身份信息,验明正身  5.服务器返回该用户的用户资料 二、JWT简介以及实现原理 1. 定义  JWT,全称为Json Web Token,是风格轻量级的授权和身份认证规范,可实
JWT认证实现详解,JWT简单实现
最新发布
2301_80007247的博客
06-15 941
本文档详细介绍了Spring Boot项目中JWT认证的实现方案,包含四部分核心组件:1) JWT配置属性类,用于载YAML配置;2) JWT常量类,定义令牌声明中的标准字段;3) JWT工具类,提供令牌生成和解析功能;4) JWT拦截器,实现请求令牌校验逻辑。该实现采用HS256签名算法,支持自定义过期时间和令牌名称,并通过拦截器统一验证请求头中的JWT有效性,验证失败返回401状态码。
JWT原理
COMEKING的博客
07-23 3528
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
JWT( 原理+流程+实例 )
m0_60708917的博客
10-28 2628
Autowired/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");
面试官:如何实现JWT鉴权机制?说说你的思路
weixin_44475093的博客
06-16 757
一、是什么JWTJSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息在目前前后端分离的开发过程中,使用token鉴权机制用于...
简单jwt实现
08-07
本篇文章将围绕"超简单jwt实现"这一主题,深入讲解JWT的基本原理、PHP环境下的JWT库使用以及实际应用中的注意事项。 JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含两部分...
jwt.cr:Crystal中的简单JWT实现
02-04
`jwt.cr` 是一个针对 Crystal 语言的 JWT 实现库。Crystal 是一种静态类型的、编译型的、基于LLVM的、拥有垃圾回收的、面向对象的、并行编程的、通用的编程语言,它设计的目标是提供 Ruby 一样的开发速度和简洁性,...
JWT身份验证原理简单讲解与nodejs简单实现
AKGWSB 's blog
08-14 9686
目录前言JWT简单介绍node中使用JWT安装jsonwebtoken包签发token验证token 前言 上一篇【基于token的持久化登录讲解及其实现】讲到token的机制,以及token的2大特性,即:只有服务器能够签发token,服务器可以验证token是否由自己签发。 可是上一篇博客编写的时候,对token的理解还不够深入,上一篇博客的token是最最最基本的token验证,而现在互联网应用的登录验证普遍使用JWT,即 JSON WEB TOKEN 的规范化验证,所以今天来学习一蛤,并且学习如何在
jwt判断token是否过期_使用NodeJS实现JWT原理
weixin_39629129的博客
11-21 1177
作者:mariozheng 来源:前端开发社区JWTjson web token的简称,本文介绍它的原理,最后后端nodejs自己实现如何为客户端生成令牌token和校验token一 .为什么需要会话管理我们用 nodejs前端或者其他服务提供 resful 接口时,http 协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户的上下文进行操作。所以...
JWT实现的单点登录系统Demo
02-01
基于JWT实现的单点登录系统,使用idea开发的,可以供学习参考,有什么问题可以咨询
webService JWS实现方式
01-21
webService的实现方式之一JWS,有需要的同学可以下载代码抽空研究;
JWT原理和使用
热门推荐
lh_hebine的博客
08-17 1万+
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT...
Jwt实现
Town
03-04 481
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户...
JWT认证标准原理 及在微服务系统中的设计及实现
Buynow_Zhao的博客
05-31 6523
引言 最近一直在思考微服务架构下的最佳授权方式,于是JWT便出现在了我的视野中,通过对其原理的学习及在项目中的实践我想这便是我想要的答案,本文将阐述JWT 背景原理,以及提及我在开发系统过程中通过API网关来进行JWT鉴权实现过程,下图展示了系统的架构及JWT认证所处位置;介绍 JWT (JSON Web Token) 是一套特别流行于分布式系统采用的授权标准 ,在采用...
JWT原理实现代码
中阳里士的博客
03-25 404
目录 代码实现 新建常量类:Const 新建控制器:AuthController 为了过滤哪些接口需要验证,此处新建一个特性:AuthAttribute 修改原有的Home控制器: 新建静态类:AuthExtension,并且增一个IApplicationBuilder的扩展方法: 在启动类Startup的请求管道中(Configure)添上面的扩展方法: 测试 上一篇学习了JWT的基本理论,这一篇将根据原理进行代码实现。 要想实现jwt密解密,要先生成一个SecurityKey
JWT学习——原理/实现
AlexZ的博客
03-15 1068
背景: 在学习SpringCloud框架时,用到JWT做用户的认证登录和鉴权。为了更好的理解其工作原理,接下来就是具体学习JWT了。 什么是JWTJSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 此信息可以通过数字签名进行验证和信任。 JWT可以使用秘密(使用HMAC算法)或使用RSA或...
JWT(JSON Web Token)原理详细解析
qq_41924386的博客
04-10 1068
一、JWT(单点登录) JSON Web Token(JWT),全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 二、为什么使用jwt 目前企业开发基于前后端分离,session已不能满足需求,需要使用JWT。 来看下面这张图,更方便你理解。 三...
Node.js实现简单JWT认证机制
通过学习本资源,开发者可以深对JWT原理的理解,并掌握在实际项目中应用jwt进行用户认证的技术细节。" 在【压缩包子文件的文件名称列表】中提供的"node-simple-jwt-master"可能是一个包含实际代码实现的源代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值