JWT认证机制

Session认证机制中需要配合cookie才能实现,由于cookie默认不支持跨域访问,当涉及到前端跨域请求后端接口时,需要做很多额外的配置,才能实现跨域session认证。所以这里不推荐使用session身份认证机制,一般推荐使用jwt认证。

目录

一、JWT的概念

二、JWT工作原理

 三、JWT的组成部分

四、JWT的使用方式

五、在express中使用JWT

1.安装JWT相关的包

2.导入JWT相关的包

3.定义secret密钥

4.在登录成功后生成jwt字符串

5.将jwt字符串还原为JSON对象

 6.使用req.user获取用户信息

一、JWT的概念

JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。

二、JWT工作原理

用户的信息通过token字符串的形式,保存在客户端浏览器中,服务器通过还原token字符串的形式来认证用户的身份。

 三、JWT的组成部分

jwt通常由三部分组成,分别是header(头部)、payload(有效荷载)、signature(签名),三者之间使用英文的“.”分隔,格式如下:

header.payload.signature
payload是真正的用户信息,它是用户信息经过加密之后生成的字符串
header、signature是安全性相关的部分,只是为了保证token的安全性

四、JWT的使用方式

客户端收到服务器返回的JWT之后,通常会将它储存在 localStorage 或 sessionStorage 中,此后,客户端每次与服务器通信,都要带上这个JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP请求头的 Authorization 字段中格式如下:

Authorization:Bearer<token>

五、在express中使用JWT

1.安装JWT相关的包

运行如下命令,安装如下两个JWT相关的包:

npm i jsonwebtoken express-jwt

jsonwebtoken:用于生成JWT字符串;

express-jwt:用于将JWT字符串解析还原成JSON对象。

2.导入JWT相关的包

使用require()函数,分别导入JWT相关的两个包:

//导入用于生成jwt字符串的包
const jwt = require('jsonwebtoken')
//导入用于将客户端发送过来的jwt字符串,解析还原成JSON对象的包
const expressJwt = require('express-jwt')

3.定义secret密钥

为了保证jwt字符串的安全性,防止jwt字符串在网络传输中被别人破解,我们需要专门定义一个用于加密和解密的secret密钥:

  • 当生成jwt字符串的时候,需要使用secret密钥对用户信息进行加密,最终得到加密好的jwt字符串;
  • 当把jwt字符串解析还原成JSON对象的时候,需要使用secret密钥进行解密;
//设置密钥
const secret = '123456'

4.在登录成功后生成jwt字符串

调用jsonwebtoken包提供的sign()方法,将用户的信息加密成jwt字符串,响应给客户端:

//登录接口
app.post('/api/login', (req, res) => { 
    //省略登录失败情况下的代码
    //用户登录成功之后,生成jwt字符串,通过token属性响应给客户端
    res.send({
        code: 200,
        message: 'success',
        //调用jwt.sign方法生成token字符串
        token:jwt.sign({username:userinfo.username}, secret, {expiresIn: '1h'})
    })
})

5.将jwt字符串还原为JSON对象

 客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的 Authorization 字段,将 Token 字符串发送到服务器进行身份认证。此时,服务器可以通过 express-jwt 这个中间件,自动将客户端发送过来的 Token 解析还原成 JSON 对象:

//使用app.use()来注册中间件
//expressJwt({secret: secret})就是用来解析token的中间件
//.unless({path:[/^\/api\//]})用来指定那些接口不需要那些接口不需要访问权限
app.use(expressJwt({secret: secret}).unless({path:[/^\/api\//]}))

 6.使用req.user获取用户信息

当express-jwt这个中间件配置成功之后,即可在哪些有权限的接口中,使用req.user对象,来访问从jwt字符串中解析出来的用户信息了,示例代码如下:

//这是一个有权限的接口
app.get('/api/protected', (req, res) => { 
    //使用req.auth获取用户信息,并使用data属性将用户信息发送给客户端
    res.send({
        code: 200,
        message: 'success',
        data: req.auth
    })
})

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/973300.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

嵌入式八股文(四)计算机网络篇

嵌入式八股文(四)计算机网络篇

第一章 基础概念 1. 服务 指网络中各层为紧邻的上层提供的功能调用,是垂直的。包括面向连接服务、无连接服务、可靠服务、不可靠服务。 2. 协议 是计算机⽹络相互通信的对等层实体之间交换信息时必须遵守的规则或约定的集合。⽹络协议的三个基本要素:语法、…
阅读更多...
数据结构——单向循环链表、双链表、双向循环链表

数据结构——单向循环链表、双链表、双向循环链表

目录 一、单向循环链表 1.1 单向循环链表的概念 1.2 单向循环链表的操作 1.2.1 单向循环链表的创建 1.2.2 单向循环链表的头插 1.2.3 单向循环链表的遍历 1.2.4 单向循环链表的头删 1.2.5 单向循环链表的尾插 1.2.6 单向循环链表的尾删 1.2.7 约瑟夫环 1.3 单向循环列表所有程…
阅读更多...
dify安装

dify安装

官网教程 https://github.com/langgenius/dify/blob/main/README_CN.md 1、下载源码 git clone https://github.com/langgenius/dify.git 2、进入docker目录 cd dify cd docker cp .env.example .env修改nginx对外端口配置 修改为9000 最后执行&#xff1a;docker compo…
阅读更多...
使用Termux将安卓手机变成随身AI服务器(page assist连接)

使用Termux将安卓手机变成随身AI服务器(page assist连接)

通过以下方法在安卓手机上运行 Ollama 及大模型&#xff0c;无需 Root 权限&#xff0c;具体方案如下&#xff1a; 通过 Termux 模拟 Linux 环境运行 核心工具&#xff1a; 安装 &#xff08;安卓终端模拟器&#xff09;()]。借助 proot-distro 工具安装 Linux 发行版&#xf…
阅读更多...
C++ STL中的reverse/unique/sort/lower_bound/upper_bound函数使用

C++ STL中的reverse/unique/sort/lower_bound/upper_bound函数使用

本文主要涉及以下几个函数&#xff1a; reverse&#xff1a;反转序列。unique&#xff1a;移除相邻重复元素。sort&#xff1a;对序列进行排序。lower_bound 和 upper_bound&#xff1a;查找目标值的边界位置。头文件均为<algorithm> 1. reverse 功能&#xff1a;反转指…
阅读更多...
QT QLabel加载图片等比全屏自适应屏幕大小显示

QT QLabel加载图片等比全屏自适应屏幕大小显示

最近在工作项目中,遇到一个需求: 1.使用QLabel显示一张图片; 2.当点击这个QLabel时,需要全屏显示;但不能改变原来的尺寸; 3.当点击放大后的QLabel时,恢复原有大小. 于是乎,就有了本篇博客,介绍如何实现这样的功能. 一、演示效果 在一个水平布局中&#xff0c;添加两个Lable用…
阅读更多...
C# 背景 透明 抗锯齿 (效果完美)

C# 背景 透明 抗锯齿 (效果完美)

主要是通过 P/Invoke 技术调用 Windows API 函数 gdi32.dll/user32.dll&#xff0c;同时定义了一些结构体来配合这些 API 函数的使用&#xff0c;常用于处理图形绘制、窗口显示等操作。 运行查看效果 局部放大&#xff0c;抗锯齿效果很不错,尾巴毛毛清晰可见。 using System; u…
阅读更多...
Windows10 将Docker虚拟磁盘文件ext4.vhdx迁移至D盘

Windows10 将Docker虚拟磁盘文件ext4.vhdx迁移至D盘

今天打开电脑发现之前迁移到D盘的ext4.vdx居然占有80多个G不得不重新清理一下了 于是先删除了d盘的ext4.vdx文件 注销了原来的 wsl --unregister docker-desktopwsl --unregister docker-desktop-data 确认 WSL 发行版状态&#xff1a; 运行以下命令以确认当前的 WSL 发行版…
阅读更多...
OpenCV二值化处理

OpenCV二值化处理

1.1. 为什么需要二值化操作 二值化操作将灰度图像转换为黑白图像&#xff0c;即将图像中的像素值分为两类&#xff1a;前景&#xff08;通常为白色&#xff0c;值为 255&#xff09;和背景&#xff08;通常为黑色&#xff0c;值为 0&#xff09;。二值化的主要目的是简化图像&…
阅读更多...
深入了解 DevOps 基础架构:可追溯性的关键作用

深入了解 DevOps 基础架构:可追溯性的关键作用

在当今竞争激烈的软件环境中&#xff0c;快速交付强大的应用程序至关重要。尽管如此&#xff0c;在不影响质量的情况下保持速度可能是一项艰巨的任务&#xff0c;这就是 DevOps 中的可追溯性发挥作用的地方。通过提供软件开发生命周期 &#xff08;SDLC&#xff09; 的透明视图…
阅读更多...
由浅入深学习大语言模型RLHF(PPO强化学习- v1浅浅的)

由浅入深学习大语言模型RLHF(PPO强化学习- v1浅浅的)

最近&#xff0c;随着DeepSeek的爆火&#xff0c;GRPO也走进了视野中。为了更好的学习GRPO&#xff0c;需要对PPO的强化学习有一个深入的理解&#xff0c;那么写一篇文章加深理解吧。纵观网上的文章&#xff0c;要么说PPO原理&#xff0c;各种复杂的公式看了就晕&#xff0c;要…
阅读更多...
【Java八股文】08-计算机网络面试篇

【Java八股文】08-计算机网络面试篇

【Java八股文】08-计算机网络面试篇 计算机网络面试篇网络模型网络OSI模型和TCP/IP模型分别介绍一下键入网址到网页显示&#xff0c;期间发生了什么&#xff1f; 应用层- HTTP应用层有哪些协议&#xff1f;HTTP是什么及HTTP报文有哪些部分&#xff1f;HTTP是怎么传输数据的HTTP…
阅读更多...
【Linux】Linux 文件系统——有关 inode 不足的案例

【Linux】Linux 文件系统——有关 inode 不足的案例

ℹ️大家好&#xff0c;我是练小杰&#xff0c;今天周二了&#xff0c;明天星期三&#xff0c;还有三天就是星期五了&#xff0c;坚持住啊各位&#xff01;&#xff01;&#xff01;&#x1f606; 本文是对之前Linux文件权限中的inode号进行实例讨论&#xff0c;看到博客有错误…
阅读更多...
SpringBoot整合Redis和Redision锁

SpringBoot整合Redis和Redision锁

参考文章 1.Redis 1.导入依赖 <!--Redis依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency><dependency><groupId>org.apache.c…
阅读更多...
亲测可用,IDEA中使用满血版DeepSeek R1!支持深度思考!免费!免配置!

亲测可用,IDEA中使用满血版DeepSeek R1!支持深度思考!免费!免配置!

作者&#xff1a;程序员 Hollis 之前介绍过在IDEA中使用DeepSeek的方案&#xff0c;但是很多人表示还是用的不够爽&#xff0c;比如用CodeChat的方案&#xff0c;只支持V3版本&#xff0c;不支持带推理的R1。想要配置R1的话有特别的麻烦。 那么&#xff0c;今天&#xff0c;给…
阅读更多...
一周学会Flask3 Python Web开发-Debug模式开启

一周学会Flask3 Python Web开发-Debug模式开启

锋哥原创的Flask3 Python Web开发 Flask3视频教程&#xff1a; 2025版 Flask3 Python web开发 视频教程(无废话版) 玩命更新中~_哔哩哔哩_bilibili 默认情况&#xff0c;项目开发是普通模式&#xff0c;也就是你修改了代码&#xff0c;必须重启项目&#xff0c;新代码才生效&…
阅读更多...
某手sig3-ios算法 Chomper黑盒调用

某手sig3-ios算法 Chomper黑盒调用

Chomper-iOS界的Unidbg 最近在学习中发现一个Chomper框架&#xff0c;Chomper 是一个模拟执行iOS可执行文件的框架&#xff0c;类似于安卓端大名鼎鼎的Unidbg。 这篇文章使用Chomper模拟执行某手的sig3算法&#xff0c;初步熟悉该框架。这里只熟悉模拟执行步骤以及一些常见的…
阅读更多...
PyTorch 深度学习框架中 torch.cuda.empty_cache() 的妙用与注意事项

PyTorch 深度学习框架中 torch.cuda.empty_cache() 的妙用与注意事项

&#x1f349; CSDN 叶庭云&#xff1a;https://yetingyun.blog.csdn.net/ 在使用 PyTorch 进行深度学习模型训练与调优过程中&#xff0c;torch.cuda.empty_cache() 方法作为一种高效工具被广泛采用&#xff1b;但其正确应用要求充分理解该方法的功能及最佳实践。下文将对该方…
阅读更多...
巧用GitHub的CICD功能免费打包部署前端项目

巧用GitHub的CICD功能免费打包部署前端项目

近年来&#xff0c;随着前端技术的发展&#xff0c;前端项目的构建和打包过程变得越来越复杂&#xff0c;占用的资源也越来越多。我有一台云服务器&#xff0c;原本打算使用Docker进行部署&#xff0c;以简化操作流程。然而&#xff0c;只要执行sudo docker-compose -f deploy/…
阅读更多...
配置Api自动生成

配置Api自动生成

我的飞书:https://rvg7rs2jk1g.feishu.cn/docx/TVlJdMgYLoDJrsxAwMgcCE14nxt 使用Springfox Swagger生成API&#xff0c;并导入Postman&#xff0c;完成API单元测试 Swagger: 是一套API定义的规范&#xff0c;按照这套规范的要求去定义接口及接口相关信息&#xff0c;再通过可…
阅读更多...
最新文章

Copyright @ 2022~2023