JsonWebToken(jwt)用法及其优势

最新推荐文章于 2024-07-10 06:15:00 发布
最新推荐文章于 2024-07-10 06:15:00 发布
阅读量1k 收藏
点赞数
分类专栏: # Node # Jwt
原文链接:https://www.jianshu.com/p/f7e7b056f43d
版权

jsonwebtoken

具体的实践可以看我github上的例子

用法

jwt.sign(payload, secretOrPrivateKey, [options, callback])

(异步)如果提供回调,则使用err或JWT 调用回调。

(同步)将JsonWebToken返回为字符串。

payload必须是一个object, buffer或者string。请注意, exp只有当payload是object字面量时才可以设置。
secretOrPrivateKey 是包含HMAC算法的密钥或RSA和ECDSA的PEM编码私钥的string或buffer。
options:

  • algorithm:加密算法(默认值:HS256)

  • expiresIn:以秒表示或描述时间跨度zeit / ms的字符串。如60,"2 days","10h","7d",Expiration time,过期时间

  • notBefore:以秒表示或描述时间跨度zeit / ms的字符串。如:60,"2days","10h","7d"

  • audience:Audience,观众

  • issuer:Issuer,发行者

  • jwtid:JWT ID

  • subject:Subject,主题

  • noTimestamp

  • header

如果payload不是buffer或string,它将被强制转换为使用的字符串JSON.stringify()。
在expiresIn,notBefore,audience,subject,issuer没有默认值时。也可以直接在payload中用exp,nbf,aud,sub和iss分别表示,但是你不能在这两个地方同时设置。
请记住exp,nbf,iat是NumericDate类型。
生成的jwts通常会包含一个iat值除非指定了noTimestamp。如果iat插入payload中,则将使用它来代替实际的时间戳来计算其他事情,诸如options.expiresIn给定一个exp这样的时间间隔。

 

// sign with default (HMAC SHA256)
var jwt = require('jsonwebtoken');
var token = jwt.sign({ foo: 'bar' }, 'shhhhh');
//backdate a jwt 30 seconds
var older_token = jwt.sign({ foo: 'bar', iat: Math.floor(Date.now() / 1000) - 30 }, 'shhhhh');

// sign with RSA SHA256
var cert = fs.readFileSync('private.key');  // get private key
var token = jwt.sign({ foo: 'bar' }, cert, { algorithm: 'RS256'});

// sign asynchronously
jwt.sign({ foo: 'bar' }, cert, { algorithm: 'RS256' }, function(err, token) {
  console.log(token);
});

Token Expiration (exp claim)

签署1小时期限的token:

 

jwt.sign({
  exp: Math.floor(Date.now() / 1000) + (60 * 60),
  data: 'foobar'
}, 'secret');

使用此库生成令牌的另一种方法是:

 

jwt.sign({
  data: 'foobar'
}, 'secret', { expiresIn: 60 * 60 });

//or even better:

jwt.sign({
  data: 'foobar'
}, 'secret', { expiresIn: '1h' });

jwt.verify(token,secretOrPublicKey,[options,callback])

验证token的合法性

jwt.decode(token [,options])

(同步)返回解码没有验证签名是否有效的payload。
警告:这不会验证签名是否有效。你应该不为不可信的消息使用此。你最有可能要使用jwt.verify()。

错误与代码

TokenExpiredError
如果令牌过期,则抛出错误。
错误对象:

  • name:'TokenExpiredError'

  • message:'jwt expired'

  • expiredAt:[ExpDate]

JsonWebTokenError
错误对象:

  • name:'JsonWebTokenError'

  • message:

    • jwt异常

    • jwt签名是必需的

    • 无效签名

    • jwt观众无效 预期:[OPTIONS AUDIENCE]

    • jwt发行人无效。预期:[OPTIONS ISSUER]

    • jwt id无效。预期:[OPTIONS JWT ID]

    • jwt主题无效。预期:[OPTIONS SUBJECT]

JWT应用场景?

简介中提到两个场景,我认为主要第一种--身份认证。为什么采用这种方式呢?我总结了下

1、json格式简单,相比xml,我更喜欢json;Self-contained,一般都翻译成自包含,意思是jwt中已经有了你需要的全部信息,拿出来用就行。

2、同session相比,性能更好一些,省去了处理分布session的问题;对于大行其道的restful来讲,支持得很好;浏览器+app+pc,这种多终端开发,是很好的选择。

JWT有什么好处?

1、支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.

2、无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.

4、更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可.

5、去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.

6、更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。

7、CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。

8、性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多.

9、不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理.

10、基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).

补充:Base64URL
这个算法跟 Base64 算法基本类似,但有一些小的不同。
JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。

 

JSON Web Token (JWT): 理解与应用
yuanchun的知识整理
08-16 2121
JSON Web Token (JWT)
在Thinkphp中使用JWT 包括JWT是什么,JWT优势
码农一个
04-01 734
JWT 是一种开放标准(RFC 7519),用于在各方之间以 JSON 对象形式安全传输信息4。结构:由三部分组成(Header、Payload、Signature),通过点号分隔,例如 xxxxx.yyyyy.zzzzz2。Header:声明加密算法和 Token 类型(如 HS256)。Payload:包含用户信息、注册声明(如 iss、exp)和自定义数据。Signature:通过密钥对前两部分签名,确保数据完整性。
基于 Token 的身份验证:JSON Web Token(JWT)
weixin_30443075的博客
11-21 167
1、传统身份验证和JWT的身份验证 传统身份验证: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。 解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发...
JSON Web Token (JWT)
m0_67476502的博客
05-16 258
1. JWT是什么 前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:56"} 2. 之后,当用户与服务器通信时,客户在请求中发回JSON对象JWT 3...
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 4787
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
【Web前端】JWT(JSON Web Tokens)概述
wosixiaokeai的博客
07-10 919
JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。它基于JSON对象,并通过数字签名确保其完整性和真实性。JWT因其小巧、自包含以及易于在客户端和服务器之间传输的特性而被广泛使用于身份验证和信息交换的场景中。
理解JSON Web Token(JWT及其在Node.js中的使用
No_Name_Cao_Ni_Mei的博客
07-02 580
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在网络应用间安全地传递信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含描述JWT的元数据,载荷包含需要传递的信息,签名用于验证JWT的真实性。
【探索JWT扩展属性】:高级JWT用法实战解析
[【探索JWT扩展属性】:高级JWT用法实战解析](https://media.geeksforgeeks.org/wp-content/uploads/20220401174334/Screenshot20220401174003.png) # 摘要 本文旨在介绍JSON Web Token(JWT)的基础知识、结构组成...
Spring Boot 中JWT和JJWT的相关知识
qzs04923的博客
11-07 781
传统的Cookie、Session 验证方式存在跨域和扩展性的限制,Token验证方式成立一个很好的代替方式,而JWT(JSON Web Token)是一个不错的选择。总结:Spring Boot 和 JJWT 的集成使得在 Java 应用程序中使用 JWT 变得非常简单,不仅可以轻松创建和验证 JWT,还提供了多种加密和解密算法供选择。头部(Header):头部通常由两部分组成,一个是令牌的类型,即JWT,另一个是使用的签名算法,如HMAC、SHA256等。可以根据需要选择适合的算法来创建和验证JWT
认证授权示例——JWT及Shiro
qqxhb 资源共享
08-12 3006
1、常见的认证机制 1.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的usernamepassword,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量...
使用JWT进行RESTful WebAPI的身份验证
# 1. JWT简介与原理 ## 1.1 什么是JWT JSON Web Token(JWT)是一种...在使用 JWT 进行认证时,客户端在请求中携带 JWT,服务端收到请求后校验 JWT 的签名和有效期,从而确认用户身份。 ## 1.3 JWT优势和适用场景
wso2-jwt-verify:jsonwebtoken jwt.verify()对我不起作用。 从WSO2 API网关JWT(Java)签名令牌时
04-27
wso2-jwt-verify 用于验证JWT签名的Express中间件 使用RSA wso2carbok私钥与WSO3 SHA256签名 jsonwebtoken jwt.verify()对我不起作用。 在WSO2中启用了JWT,方法是: ://docs.wso2.com/display/AM190/Passing+Enduser+Attributes+to+the+Backend+Using+JWT ##### SHA256WITHRSA 从WSO2安装服务器下载了/repository/resources/security/wso2carbon.jks 使用打开 在密钥列表中,右键单击wso2corbon并单击“导出”>“公共密钥”>“ OpenSSL”>“命名为” public.key” 向WSO2 API网关发送请求 curl -k -d " grant_type=p
jsonweb token验证问题
qq_44242030的博客
05-07 1077
jwt 原理 客户端用户使用用户名和密码通过 POST 请求登录或注册 服务端确认用户合法,生成一个 JWTJWT 返回给客户端,客户端将其保存在本地(一般保存在 localStorage 中) 之后客户端向服务端发送 HTTP 请求需要将 JWT 加入请求头中 服务器解析 JWT,检查是否合法且有效 根据检查结果对客户端做出响应 JWT 结构 服务端生成的 JWT 是一段很长的字符串...
JWT(JSON WEB TOKEN)是什么
枫秀天涯的博客
12-26 770
JWT(JSON WEB TOKEN)是什么 JSON Web Token(JWT)是一种开放标准RFC 7519 ,他定义了一种压缩、独立的JSON对象,可以安全地将信息以JSON对象的形式传递给各方。这个信息可以被验证和信任,因为他是通过数字签名的。JWTs签名可以通过一个私钥(使用HMAC算法)或者使用RSA的公钥/私钥对签名。 首先解释一些概念: Compact:由于
Node项目中使用jsonwebtoken实现JWT认证
柯晓楠
04-27 1063
1、需求说明 在前后端分离开发中,前端使用Vue.js框架,通过axios发送异步HTTP请求,服务端就无法使用session的方式保存用户的登录信息,因为客户端的每一次异步请求在服务端都会被认为是一个新的session。我们可以使用jwtjsonwebtoken)的方式实现用户的校验。 2、安装相关依赖 服务端: 本文中使用Express作为服务端框架,需要在服务端安装以下JWT依赖: cnpm i jsonwebtoken --save cnpm i express-jwt --save 前端: 在
Nodejs项目中使用token验证,jwt,jsonwebtoken
热门推荐
知无涯
11-09 1万+
目前 在web框架中最流行的身份验证是使用jsonwebtoken,简称jwt.可以设置加密方式,过期时间,存放个人信息,逆解析. 抽空研究了一下nodejs的jwt如何做,下面来记录一下 使用的包是 "jsonwebtoken": "^8.3.0" 包的github地址 主要用到的方法是 生成token jwt.sign() 验证token jwt.verify() ...
认识JWT
anpinmao8082的博客
07-31 316
1. JSON Web Token是什么   JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorizat...
node.js(第八章)登录鉴权方式二 JSON Web Token (JWT)
微光无限的博客
08-03 680
node.js(第八章)登录鉴权 JSON Web Token (JWT)
node使用JSON Web Token (JWT)身份验证
失眠时间的博客
12-15 925
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT是由header(头部)payload(数据)signature(签名)三部分组成,中间用点分隔开,并且都会使用 Base64 编码。 ———————————————— 版权声明:本文为优快云博主「失眠时间」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
node中缓存token
最新发布
04-03
### 缓存 Token 的最佳实践 在 Node.js 环境下,缓存 Token 是一种常见的需求,尤其是在涉及身份验证的应用程序中。以下是几种常用的缓存方法及其优缺点分析。 #### 使用内存存储(如 `Map` 或 `Object`) 对于简单的应用场景,可以直接使用 JavaScript 原生的数据结构来缓存 Token。这种方法适合小型项目或测试环境,因为它不需要额外依赖外部服务。 ```javascript const tokenCache = new Map(); function cacheToken(token, data) { const expirationTime = Date.now() + (data.expireIn * 1000); // 转换为毫秒 tokenCache.set(token, { ...data, expiresAt: expirationTime }); } function getTokenData(token) { const cachedData = tokenCache.get(token); if (!cachedData || cachedData.expiresAt < Date.now()) { tokenCache.delete(token); // 清理过期的 Token return null; } return cachedData; } ``` 这种方式的优点在于简单易用且性能高[^1],但由于数据仅存在于内存中,在服务器重启后会丢失所有缓存内容。 --- #### 使用 Redis 进行分布式缓存 Redis 是一个高性能的键值数据库,非常适合用来缓存 Token 数据。它支持持久化、TTL(时间至活)设置以及跨多台机器共享缓存的能力。 安装并连接 Redis: ```bash npm install redis ``` 代码示例: ```javascript const redis = require('redis'); const client = redis.createClient(); // 创建 Redis 客户端实例 client.on('error', (err) => console.error(`Redis Client Error: ${err}`)); // 存储 Token 到 Redis 并设置 TTL function cacheTokenToRedis(token, data) { const ttlInSeconds = data.expireIn; // 单位:秒 client.SETEX(token, ttlInSeconds, JSON.stringify(data)); } // 获取 Token 数据 function getTokenFromRedis(token, callback) { client.GET(token, (err, result) => { if (err) throw err; if (!result) return callback(null, null); // 如果没有找到对应的 Token,则返回 null try { const parsedResult = JSON.parse(result); callback(null, parsedResult); } catch (e) { callback(e, null); } }); } ``` 通过 Redis 实现缓存的优势在于其强大的扩展性和可靠性[^2],尤其适用于需要在多个节点之间共享状态的服务架构。 --- #### 结合 JWT 和缓存机制优化认证流程 当使用 JsonWebToken 模块生成和解析 Token 时,可以通过缓存进一步提升效率。例如,可以在首次成功验证 Token 后将其保存到缓存中,并在未来请求中优先查询缓存而不是重新计算签名。 ```javascript const jwt = require('jsonwebtoken'); async function verifyAndCacheToken(token) { let cachedData = await getTokenFromRedis(token); // 尝试从 Redis 中获取已缓存的 Token if (cachedData) { return Promise.resolve(cachedData); // 若存在则直接返回 } return new Promise((resolve, reject) => { jwt.verify(token, 'your-secret-key', async (err, decoded) => { if (err) return reject(err); // 验证成功后将 Token 缓存起来 await cacheTokenToRedis(token, decoded); resolve(decoded); }); }); } ``` 此方案不仅减少了重复计算的工作量,还增强了系统的响应速度[^3]。 --- ### 总结 - 对于单机部署的小型应用,可以选择基于内存的方式快速实现 Token 缓存功能。 - 当面对更复杂的场景或者分布式的系统设计时,推荐采用 Redis 来管理 Token 缓存。 - 在实际开发过程中,应综合考虑业务特点和技术栈特性选取最适合的技术手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值