手把手教你用JWT搞定Token登录验证(防踩坑指南)[特殊字符]

最新推荐文章于 2025-08-16 13:34:25 发布
原创 最新推荐文章于 2025-08-16 13:34:25 发布 · 813 阅读 · 17 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#其他

文章目录

一、为什么你的登录系统需要JWT?

在座各位码农应该都经历过这样的痛苦:用户登录状态维护起来简直比追对象还难!传统的Cookie-Session方案在分布式系统中就像用竹篮打水——根本存不住!(别问我怎么知道的,说多了都是泪😭)

这时候就该我们的主角**JWT(JSON Web Token)**登场了!它就像是程序员界的瑞士军刀,能解决:

  1. 分布式系统的认证难题
  2. 服务端无状态化需求
  3. 跨域资源共享(CORS)
  4. 移动端/前后端分离适配

二、JWT解剖课:原来你是这样的Token!

一个完整的JToken长这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

拆开来看其实是三部分(划重点!!!):

2.1 Header(头信息)

{
  "alg": "HS256",  // 签名算法
  "typ": "JWT"     // token类型
}

2.2 Payload(载荷)

{
  "sub": "1234567890",  // 用户ID(核心!!)
  "name": "John Doe",
  "iat": 1516239022    // 签发时间
}

2.3 Signature(签名)

通过前两部分+密钥生成的防伪标识,就像古代皇帝的玉玺盖戳!

三、实战!从0到1实现JWT登录

以Node.js为例(其他语言原理相通):

3.1 安装核心依赖

npm install jsonwebtoken cookie-parser

3.2 生成Token(登录接口)

const jwt = require('jsonwebtoken');

router.post('/login', (req, res) => {
  // 1.验证用户名密码(省略)
  // 2.生成Token
  const token = jwt.sign(
    { userId: user.id }, 
    '你的超级密钥', 
    { expiresIn: '2h' } // 2小时过期
  );
  
  // 3.返回给客户端
  res.cookie('token', token, { httpOnly: true });
  res.json({ success: true });
});

3.3 验证中间件

function authMiddleware(req, res, next) {
  const token = req.cookies.token;
  
  try {
    const decoded = jwt.verify(token, '你的超级密钥');
    req.user = decoded.userId;
    next();
  } catch (err) {
    res.status(401).json({ error: '无效的Token!' });
  }
}

3.4 过期处理技巧

在Payload中加入过期时间:

{
  "exp": Math.floor(Date.now() / 1000) + (60 * 60) // 1小时后过期
}

四、安全防护指南(必看!!)

  1. HTTPS必须上:裸奔的JWT等于把密码写在脸上!
  2. 密钥要够复杂:至少32位随机字符串(别用admin123这种祖传密码!)
  3. 定期刷新Token:建议采用长短Token机制
  4. 敏感操作二次验证:比如修改密码时要求短信验证
  5. 黑名单机制:虽然JWT本身无状态,但注销时可以把未过期的Token加入黑名单

五、常见翻车现场

Q1:Token被盗怎么办?

A:就像银行卡丢了要挂失,建议:

  • 结合IP检测
  • 设置短期有效期
  • 关键操作二次认证

Q2:Payload能存密码吗?

A:绝对不行!!(重要的事情说三遍)Payload虽然经过Base64编码,但相当于明文传输!

Q3:分布式系统怎么存储用户状态?

A:推荐把基础信息放在JWT中,详细数据通过userID查缓存(Redis真香!)

六、总结与踩坑心得

经过实战验证,JWT确实能让登录验证变得优雅。但要注意:

  • 控制Payload体积(太大影响性能)
  • 密钥管理要严格(建议用环境变量)
  • 过期时间别设太长(建议2小时以内)

最后说句大实话:技术没有银弹,JWT虽好但也要看场景。如果是银行级系统,还是建议上OAuth2.0等更复杂的方案。

(本文示例代码已在我的个人博客[rmsys.top]同步更新,欢迎来踩~)

laowangpython
关注
JWT实现token登录验证
m0_73641772的博客
12-05 6218
Jwt是一种用于在各方之间安全地传输信息的开放标准(RFC 7519)。它可以被用于身份验证和信息交换,常见于Web应用中,以支持单点登录(SSO)或API身份验证JWT 的内容可以通过数字签名保护,以确保信息的完整性和真实性。
jwt token长度限制_接口的登录状态校验以及JWT
weixin_39644021的博客
12-03 2164
最近在网上和朋友聊天,发现他在数据接口中校验登录状态用的还是session,在我及时劝说和科普之后,他最终决定改用JWT,那么接下来我们就聊一聊数据接口应该怎么管理登录状态以及什么是JWTJWT官网访问地址https://jwt.io/introduction/前后端混合开发的场景 前后端混合开发的时候,用户登录状态的是通过session来实现的,原理很简单:用户登录后,服务端将登录用户信息存储...
验证码模式登录方案设计
Dream_it_possible!的博客
03-24 5968
目录 一、登录流程设计 二、代码详细设计 1. 获取验证码 1) 表达式型验证码。 2) 特殊字符验证码 3) 中文验证码 2. 验证密码和验证码 随着技术的更新迭代,越来越多的应用采用手机验证码的方式登录,更快捷、安全。 但是现在仍然很多应用采用验证码的模式设计登录系统,不需要手机号注册,也能有效地提升系统的安全性,即使你的账号用户名和密码泄露出去了,但是如果不获取验证码并输入正确验证码的情况下,还是无法进入到系统,也能有效地抵御一些恶意攻击的手段,因为破解...
JWT Token 实现指南与示例代码
weixin_29363791的博客
08-16 884
在现代Web应用中,为了安全地在服务端和客户端之间传递信息,我们需要一种能够被双方信任的数据交换机制。JSON Web TokenJWT)因此应运而生,它是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输声明。由于其轻量级和可跨域传递的特性,它已成为实现身份验证和信息交换的常用技术。JWT可以编码为一个紧凑的、自包含的方式,使得信息在经过不同域时,能够保持其结构不被破坏。
HTTP请求API(SpringBoot java项目)token验证报:JWT signature does not match locally computed signature
kongtong2004的专栏
06-14 1万+
通过SpringBoot搭建restful API服务,使用JWT进行登录验证,客户端每次登录会重新获取token,发现API服务端过滤器AuthFilter,通过HTTP 请求头获取token验证token时,偶尔会报:JWT signature does not match locally computed signature, 因为每次重新登录(新token)后又正常了,所以项目运行了半年多,也没去管它。今日再查OOM问题时,发现日志很多这个JWT错误,遂萌生了要...
QT属性动画--设置样式属性(其他属性)
热门推荐
lizequan的博客
03-02 14万+
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
Volatile的其他特性
我想月薪过万的博客
03-03 13万+
2.1 volatile总体概览 在上一节中,我们已经研究完了volatile可以实现并发下共享变量的可见性,volatile除了保证可见性外,volatile还具备如下一些突出的特性: volatile的原子性问题:volatile不能保证原子性操作 禁止指令重排序:volatile可以止指令重排序操作 2.2 volatile不保证原子性 2.3 代码测试 package Ls; /** * 目标:研究Volatile的原子性操作 * <p> * 基本观点:V.
【安卓基础】Android直接通过路径来操作其他应用的私有目录,可以吗?
m0_48179608的博客
03-02 9449
在上篇文章[【安卓基础】一文搞懂Android历代版本文件访问权限变化](https://blog.csdn.net/m0_48179608/article/details/122838494)我们对同一个应用的的文件访问权限做了比较。 那么不同应用之间文件访问又有什么限制呢?我们准备分二到三篇文件来阐述。 这篇文章,主要来看下不同系统版本下,我们直接通过路径来访问其它应用的**内部存储、外部存储私有目录**,看看能不能访问以及不同系统版本的区别。
Silane-PEG-NHS,SIL-PEG-NHS,可以用来修饰蛋白质、多肽以及其他活性基团,NHS-PEG-Silane
qq_39152602的博客
03-03 13万+
英文名称:Silane-PEG-NHS 中文名称:硅烷-聚乙二醇-活性酯 分子量:1k,2k,3.4k,5k,10k,20k(可按需定制) 质量控制:95%+ 存储条件:-20°C,避光,避湿 用 途:仅供科研实验使用,不用于诊治 外观: 固体或粘性液体,取决于分子量 注意事项:取用一定要干燥,避免频繁的溶解和冻干 溶解性:溶于大部分有机溶剂,如:DCM、DMF、DMSO、THF等等。在水中有很好的溶解性 取用:现配现用,将包装从冰箱中取出,置于干燥器中缓慢升至室温,打开瓶盖,取用。取用.
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
皮埃尔的博客
03-03 13万+
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
围绕日志采集修复任务设计平台化能力
06-23
标题:围绕日志采集修复任务设计平台化能力 内容概要:结合用户体验、稳定性治理、扩展机制和排障手段,分析围绕日志采集修复任务设计平台化能力的建设方案。 24直播网:youscreen.cn 24直播网:miaomantz.cn 24直播网:qghjfw.com 24直播网:sc-hjmj.com 24直播网:2023119.com
Java微服务如何拆解链路追踪平台
06-23
标题:Java微服务如何拆解链路追踪平台 内容概要:从服务拆分、状态流转、容量评估与灰度发布出发,介绍Java微服务如何拆解链路追踪平台的工程化落地方式。 24直播网:gyzywcb.com 24直播网:danlanart.com 24直播网:drmedtmall.com 24直播网:jdzxin.com 24直播网:kfdxkongfen.com
wordFunney大更新的文字恐怖游戏 python开发
06-23
我做了一个wordFunney的文字冒险游戏,大版本更新资源,免费拿去
从业务角度拆解文件上传回调服务
06-23
标题:从业务角度拆解文件上传回调服务 内容概要:从服务拆分、状态流转、容量评估与灰度发布出发,介绍从业务角度拆解文件上传回调服务的工程化落地方式。 24直播网:m.argentinavsaustria.com 24直播网:www.hb9166.com 24直播网:www.syosrfm.com 24直播网:www.segaculture.com 24直播网:www.xscwfw.com
stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例ATMEGA8-ATMEGA16(贴片)DXP资料
06-23
stm32单片机项目资料课程设计文档C语言程序代码原理图电路PCB实例ATMEGA8-ATMEGA16(贴片)DXP资料
地级市-城市出口韧性数据(2011-2022年)
06-23
01、数据简介 出口韧性是地级市在面对外部震荡和压力时,能够承受并迅速适应、应对变化的能力。这种能力体现在地级市经济结构的灵活性、创新能力和竞争力,以及地方政府的政策支持和产业调整能力等多个方面。 城市出口韧性对于城市的经济发展、就业稳定、国际贸易地位以及风险抵御能力等方面都具有重要影响。因此,城市应加强出口韧性的建设,提高应对外部冲击的能力,以推动其经济的可持续发展。 数据名称:地级市-城市出口韧性数据 数据年份:2011-2022年 02、相关数据 代码 年份 地区 城市 省份 城市出口韧性 距离港口的最近距离 最终进口额_百万人民币2 最终出口额_百万人民币2 人均道路面积2 年末金融机构各项贷款余额万元2 地区生产总值万元2 科学支出万元2 地方财政一般预算内支出万元2 城镇居民人均可支配收入元2 固定资产投资2 实际使用外商投资额百万美元2 城镇化率2 外贸依存度 出口贸易 年平均汇率 实际使用外商投资额百万人民币2 外资依存度 金融发展水平 财政投资力度 科学技术水平 出口偏离度 x_地区生产总值万元2 x_城镇化率2 x_人均道路面积2 x_外贸依存度 x_出口贸易 x_出口偏离度 x_金融发展水平 x_城镇居民人均可支配收入元2 x_财政投资力度 x_科学技术水平 x_距离港口的最近距离 x_外资依存度 地区生产总值万元2_sum y_地区生产总值万元2 城镇化率2_sum y_城镇化率2 人均道路面积2_sum y_人均道路面积2 外贸依存度_sum y_外贸依存度 出口贸易_sum y_出口贸易 出口偏离度_sum y_出口偏离度 金融发展水平_sum y_金融发展水平 城镇居民人均可支配收入元2_sum y_城镇居民人均可支配收入元2 财政投资力度_sum y_财政投资力度 科学技术水平_sum y_科学技术水平
ZX8002D.pdf
最新发布
06-23
ZX8002D
无人机无人机空中无人机通信仿真(Matlab实现)
06-23
内容概要:本文档详细介绍了一个基于Matlab实现的无人机空中通信仿真资源包,系统涵盖了无人机通信、三维路径规划、状态估计与多机协同等多个核心技术模块的仿真代码与案例研究。内容聚焦于无人机在复杂环境下的三维路径规划(如基于遗传算法GA、粒子群算法PSO、动态窗口法DWA等)、无人机姿态与轨迹的状态估计算法(如扩展卡尔曼滤波器EKF、UKF、不变扩展卡尔曼滤波IEKF、粒子滤波PF等),以及无人机通信链路建模与优化,并融合智能优化算法对系统性能进行提升。此外,资源包还拓展至微电网优化、MIMO检测、图像融合、信号处理等相关科研领域,构建了一个以无人机技术为核心、多学科交叉融合的综合性仿真研究体系。; 适合人群:具备一定Matlab编程能力与控制系统基础知识,从事无人机系统设计、无线通信、自动化控制、智能优化算法或相关领域研究的科研人员、高校研究生及工程技术人员。; 使用场景及目标:①开展无人机通信系统建模与性能仿真分析;②实现复杂动态环境中无人机三维路径规划与实时避障;③研究基于多源传感器融合的无人机导航与状态估计方法;④结合智能优化算法提升无人机任务执行效率与系统鲁棒性; 阅读建议:建议读者依据资源包提供的模块化结构系统学习,优先掌握Matlab/Simulink基本仿真技能,重点研读路径规划与状态估计部分的算法实现与代码细节,并通过实际调试与二次开发加深对无人机系统集成与优化策略的理解。
Pydantic 模型继承复用
06-23
多接口存在重复字段时,通过模型继承消除冗余代码。定义基础用户模型包含 id、创建时间、更新时间,业务用户模型直接继承并拓展昵称、手机号字段。同时支持字段重写、字段排除,子类可隐藏父类多余字段。模型继承会自动同步到接口文档,字段层级清晰。搭配模型导出、导入模式,区分数据库入库模型和前端返回模型,避免内部字段外泄。 24直播网:m.gxjynm.com 24直播网:xglspdcyey.yn.cn 24直播网:m.ipjpuhc.cn 24直播网:yczllq.org.cn 24直播网:hcxyey.hl.cn
2024年HS编码出口退税率数据(2004-2024年)
06-23
01、数据简介 出口退税率是针对出口产品在国内已缴纳的税款,在货物报关出口后退还给出口企业时,按照一定比例计算的退税金额与计税价格之间的比率。 出口退税率是出口退税制度中的一个重要参数,它体现了国家对出口企业的税收优惠政策,有助于降低企业的出口成本,提升其在国际市场上的竞争力。同时,国家也会根据经济形势和国际贸易的变化,适时调整出口退税率,以更好地服务于国家的经济发展战略。 数据名称:2024年HS编码出口退税率数据 数据年份:2004-2024年 02、相关数据 CODE、ST_DATE、END_DATE、ZHCMCODE、NAME、DWCODE、UNIT、BCFLAG、STDFLAG、DWFLAG、SZ、ZSSL_SET、CLDE、CJDL、TSL、SPLB、TSFLAG、NOTE。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值