手把手教你用JWT搞定Token登录验证(防踩坑指南)[特殊字符]

最新推荐文章于 2026-06-17 07:51:55 发布
原创 最新推荐文章于 2026-06-17 07:51:55 发布 · 816 阅读 · 17 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#其他

文章目录

一、为什么你的登录系统需要JWT?

在座各位码农应该都经历过这样的痛苦:用户登录状态维护起来简直比追对象还难!传统的Cookie-Session方案在分布式系统中就像用竹篮打水——根本存不住!(别问我怎么知道的,说多了都是泪😭)

这时候就该我们的主角**JWT(JSON Web Token)**登场了!它就像是程序员界的瑞士军刀,能解决:

  1. 分布式系统的认证难题
  2. 服务端无状态化需求
  3. 跨域资源共享(CORS)
  4. 移动端/前后端分离适配

二、JWT解剖课:原来你是这样的Token!

一个完整的JToken长这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

拆开来看其实是三部分(划重点!!!):

2.1 Header(头信息)

{
  "alg": "HS256",  // 签名算法
  "typ": "JWT"     // token类型
}

2.2 Payload(载荷)

{
  "sub": "1234567890",  // 用户ID(核心!!)
  "name": "John Doe",
  "iat": 1516239022    // 签发时间
}

2.3 Signature(签名)

通过前两部分+密钥生成的防伪标识,就像古代皇帝的玉玺盖戳!

三、实战!从0到1实现JWT登录

以Node.js为例(其他语言原理相通):

3.1 安装核心依赖

npm install jsonwebtoken cookie-parser

3.2 生成Token(登录接口)

const jwt = require('jsonwebtoken');

router.post('/login', (req, res) => {
  // 1.验证用户名密码(省略)
  // 2.生成Token
  const token = jwt.sign(
    { userId: user.id }, 
    '你的超级密钥', 
    { expiresIn: '2h' } // 2小时过期
  );
  
  // 3.返回给客户端
  res.cookie('token', token, { httpOnly: true });
  res.json({ success: true });
});

3.3 验证中间件

function authMiddleware(req, res, next) {
  const token = req.cookies.token;
  
  try {
    const decoded = jwt.verify(token, '你的超级密钥');
    req.user = decoded.userId;
    next();
  } catch (err) {
    res.status(401).json({ error: '无效的Token!' });
  }
}

3.4 过期处理技巧

在Payload中加入过期时间:

{
  "exp": Math.floor(Date.now() / 1000) + (60 * 60) // 1小时后过期
}

四、安全防护指南(必看!!)

  1. HTTPS必须上:裸奔的JWT等于把密码写在脸上!
  2. 密钥要够复杂:至少32位随机字符串(别用admin123这种祖传密码!)
  3. 定期刷新Token:建议采用长短Token机制
  4. 敏感操作二次验证:比如修改密码时要求短信验证
  5. 黑名单机制:虽然JWT本身无状态,但注销时可以把未过期的Token加入黑名单

五、常见翻车现场

Q1:Token被盗怎么办?

A:就像银行卡丢了要挂失,建议:

  • 结合IP检测
  • 设置短期有效期
  • 关键操作二次认证

Q2:Payload能存密码吗?

A:绝对不行!!(重要的事情说三遍)Payload虽然经过Base64编码,但相当于明文传输!

Q3:分布式系统怎么存储用户状态?

A:推荐把基础信息放在JWT中,详细数据通过userID查缓存(Redis真香!)

六、总结与踩坑心得

经过实战验证,JWT确实能让登录验证变得优雅。但要注意:

  • 控制Payload体积(太大影响性能)
  • 密钥管理要严格(建议用环境变量)
  • 过期时间别设太长(建议2小时以内)

最后说句大实话:技术没有银弹,JWT虽好但也要看场景。如果是银行级系统,还是建议上OAuth2.0等更复杂的方案。

(本文示例代码已在我的个人博客[rmsys.top]同步更新,欢迎来踩~)

laowangpython
关注
Web身份验证详解:Cookie、Session、Base64与Token的应用与区别
m0_56608748的博客
09-07 2588
Cookie,Session,JWT的使用
jwt token长度限制_接口的登录状态校验以及JWT
weixin_39644021的博客
12-03 2165
最近在网上和朋友聊天,发现他在数据接口中校验登录状态用的还是session,在我及时劝说和科普之后,他最终决定改用JWT,那么接下来我们就聊一聊数据接口应该怎么管理登录状态以及什么是JWTJWT官网访问地址https://jwt.io/introduction/前后端混合开发的场景 前后端混合开发的时候,用户登录状态的是通过session来实现的,原理很简单:用户登录后,服务端将登录用户信息存储...
验证码模式登录方案设计
Dream_it_possible!的博客
03-24 5981
目录 一、登录流程设计 二、代码详细设计 1. 获取验证码 1) 表达式型验证码。 2) 特殊字符验证码 3) 中文验证码 2. 验证密码和验证码 随着技术的更新迭代,越来越多的应用采用手机验证码的方式登录,更快捷、安全。 但是现在仍然很多应用采用验证码的模式设计登录系统,不需要手机号注册,也能有效地提升系统的安全性,即使你的账号用户名和密码泄露出去了,但是如果不获取验证码并输入正确验证码的情况下,还是无法进入到系统,也能有效地抵御一些恶意攻击的手段,因为破解...
HTTP请求API(SpringBoot java项目)token验证报:JWT signature does not match locally computed signature
kongtong2004的专栏
06-14 1万+
通过SpringBoot搭建restful API服务,使用JWT进行登录验证,客户端每次登录会重新获取token,发现API服务端过滤器AuthFilter,通过HTTP 请求头获取token验证token时,偶尔会报:JWT signature does not match locally computed signature, 因为每次重新登录(新token)后又正常了,所以项目运行了半年多,也没去管它。今日再查OOM问题时,发现日志很多这个JWT错误,遂萌生了要...
JWT Token 实现指南与示例代码
weixin_29363791的博客
08-16 884
在现代Web应用中,为了安全地在服务端和客户端之间传递信息,我们需要一种能够被双方信任的数据交换机制。JSON Web TokenJWT)因此应运而生,它是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输声明。由于其轻量级和可跨域传递的特性,它已成为实现身份验证和信息交换的常用技术。JWT可以编码为一个紧凑的、自包含的方式,使得信息在经过不同域时,能够保持其结构不被破坏。
JWT 生成TokenToken的校验
weixin_44602192的博客
05-25 2164
JWT方式特点: 用户登录后服务器通过JWT生成一串随机Token给到用户(服务器不保留Token信息),当用户再来访问时需要携带Token信息,服务器收到用户端的Token之后,通过JWTToken进行校验是否超时和合法。 JWT Token格式: jwt token 是由三段字符串通过"."连接组成: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsInZlcnNpb24iOiIxLjAiLCJ0cyI6IjIwMjEwMjAzMTIzIiwic2VyaWFsSWQi
[特殊字符]C# ASP.NET Core 前后端分离终极实战:JWT 身份认证与授权全流程(登录 + 鉴权 + 避
William_cl的博客
03-28 576
JWT 全称,是一种轻量级、自包含的令牌,用于在前后端之间安全传输身份信息,前后端分离认证的首选方案。前后端分离的安全通行证,替代 Session/Cookie登录验证→生成 Token→前端存储→请求头携带→后端鉴权JWT 注册配置、登录生成 Token、[Authorize]鉴权中间件顺序、请求头格式、跨域配置、Token 不存敏感信息。
JWT(一):JWT(JSON Web Token)原理
欧阳方超的专栏
12-18 1209
JWT 是开放标准,由 Header、Payload、Signature 组成,用于安全传递信息,适用于身份验证与信息交换等场景。JJWT 是其 Java 实现库,可便捷创建、解析和验证 JWT,如通过特定方法生成并验证,遵循相关规范且开源,在 Java 开发中有重要应用。
JWT令牌登录详解
fengdongnan的博客
01-16 643
JWT(JSON Web Token)令牌登录是一种常用的身份认证机制,广泛应用于现代Web开发中,学习项目中也比较常见.
jwt判断token是否过期_搞懂 JWT 这个知识点
weixin_39711867的博客
11-21 6408
(给前端大全加星标,提升前端技能)作者:程序员成长指北 公号 / koala什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signature 三个部分组成,并且最后由.拼接而成。HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面...
jwt token注销_搞懂 JWT 这个知识点
weixin_36213943的博客
12-30 712
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signature 三个部分组成,并且最后由.拼接而成。HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。{ "alg": "HS256", "typ": "JWT"}上...
JWT双令牌认证系统:Access Token与Refresh Token的终极安全指南 [特殊字符]
gitblog_00962的博客
12-22 505
在现代Web应用开发中,**JWT双令牌认证系统**已经成为保护API安全的标准方案。通过Access Token和Refresh Token的巧妙组合,这套系统既保证了用户认证的高效性,又大幅提升了安全性。本文将深入解析这个基于Go语言和Clean Architecture的**双令牌认证机制**,帮助开发者全面掌握这一重要的安全技术。 ## 什么是JWT双令牌认证系统? 🤔 **JWT
Java环境下JWT生成与验证Token实战项目
weixin_35294091的博客
10-19 836
在实际开发中,常需携带用户角色、权限列表、租户ID等上下文信息。以下是推荐做法:使用小写驼峰命名保持一致性;复杂结构先序列化为JSON字符串再嵌入;控制总大小不超过1KB,以免影响网络传输效率。// 构建完整Payload逻辑分析方法允许批量注入Map中的键值对。- 所有数据最终都会被序列化并Base64Url编码,但不会加密。- 若需保密,请结合TLS传输层加密或改用JWE(加密JWT)。
[特殊字符] JWT 登录鉴权实战:从前端到Mock的全流程解析 [特殊字符]
2501_92798394的博客
07-25 868
大家好!今天我们要聊一个既实用又有趣的话题——JWT(JSON Web Token登录鉴权。如果你曾经好奇过网站是如何记住你的登录状态,或者为什么有些页面需要登录才能访问而有些不需要,那么这篇文章就是为你准备的!我们将通过一个完整的React项目代码来深入理解JWT的工作原理和实现方式。准备好了吗?让我们开始这段奇妙的技术之旅吧!🌈想象一下你去了一家会员制的咖啡店 ☕。第一次光顾时,你需要出示身份证办理会员卡。之后每次再来,只需要出示这张会员卡,店员就能认出你,知道你是尊贵的会员。
如何在10分钟内使用hapi-auth-jwt2为你的Hapi.js应用添加JWT认证 [特殊字符]
最新发布
gitblog_00433的博客
06-17 956
**hapi-auth-jwt2** 是一个专为Hapi.js框架设计的JSON Web TokenJWT)认证插件,它让开发者能够快速、安全地为API添加身份验证功能。如果你正在寻找一个简单易用、功能强大的Hapi.js JWT认证解决方案,那么hapi-auth-jwt2绝对是你的不二选择!✨ ## 为什么选择hapi-auth-jwt2? 🤔 在众多Hapi.js认证插件中,hapi
jwt判断token是否过期_辩证的眼光搞懂 JWT 这个知识点
weixin_39763033的博客
11-23 1065
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signature 三个部分组成,并且最后由.拼接而成。HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。{ "alg": "HS256", "typ": "JWT"}上...
数据接口的登录态校验以及JWT
达拉崩巴斑得贝迪卜多比鲁翁_
10-20 759
混合开发的时候是怎么做的 前后端混合开发的时候,用户登录状态的管理一般都是通过session来实现的,原理很简单:用户登录后,服务端将登录用户信息存储到服务器上的特定位置,并生成对应的session id存储到浏览器的cookie中。需要校验的时候先读取cookie中的session id,找到服务器中对应的存储内容,完成校验。 很显然,这个机制是建立在cookie基础上的,cookie又依赖于浏览器,而且有域名限制。是不适合app、小程序、以及前后端时数据接口采用其他域名等情况的。 app、小程序、前后端
jwt判断token是否过期_前端也得搞懂 JWT 这个知识点
weixin_39761655的博客
11-23 2153
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signature 三个部分组成,并且最后由.拼接而成。HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。{ "alg": "HS256", "typ": "JWT"}上...
JSON WEB TOKEN(JWT)
qq_38344321的博客
03-01 465
JWT是toke的一种形式。主要由header(头部)、payload(载荷)、signature(签名)这三部分字符串组成,这三部分使用".“进行连接,完整的一条JWT值为${header}.${payload}.${signature},例如下面使用”."进行连接的字符串: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIjoiMTEiLCJpYXQiOjE2MTQzMjU5NzksImV4cCI6MTYxNDMyNTk4MH0.iMjzC_jN3iwSpIy
QT属性动画--设置样式属性(其他属性)
热门推荐
lizequan的博客
03-02 14万+
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值