JWT是一种轻量级自包含身份验证机制,由Header.Payload.Signature三部分组成,服务端签发、客户端存储并携带,通过验签验证身份,适用于分布式系统。
JWT(JSON Web Token)是 JavaScript 中常用的一种轻量级、自包含的身份验证机制,它把用户身份信息编码成一个字符串,服务端签发、客户端存储、每次请求携带,后端通过验签确认身份,无需查库,适合分布式系统。
JWT 的结构和原理
一个 JWT 由三部分组成,用点号(.)分隔:Header.Payload.Signature。
Header:声明签名算法(如 HS256)和 token 类型(JWT) Payload:存放实际数据,比如用户 ID、角色、过期时间(exp)、签发时间(iat)等。注意:不加密,仅 Base64Url 编码,不能放密码、敏感密钥等 Signature:用私钥(或共享密钥)对前两部分签名,防止篡改。服务端收到后重新计算签名比对,一致才信任
前端如何使用 JWT 做登录和请求携带
用户登录成功后,后端返回 JWT 字符串,前端通常存在 localStorage 或 httpOnly cookie(更安全)中。
后续请求在 Authorization 请求头中带上:Bearer 用 fetch 或 axios 自动附加,例如:
axios.defaults.headers.common['Authorization'] = 'Bearer ' + token;
立即学习“Java免费学习笔记(深入)”;
也可封装请求拦截器,自动读取 token 并注入,过期时跳转登录页。
后端(Node.js 示例)如何签发和验证 JWT
常用库是 jsonwebtoken(npm install jsonwebtoken)。
签发(登录成功时):
const jwt = require('jsonwebtoken');
const token = jwt.sign({ userId: 123, role: 'user' }, 'your-secret-key', { expiresIn: '24h' });
验证(中间件中):
jwt.verify(token, 'your-secret-key', (err, decoded) => {
if (err) return res.status(401).json({ error: 'Invalid or expired token' });
// decoded 包含 payload 内容,可挂到 req.user 上继续处理
});
安全注意事项
密钥必须保密,生产环境别硬编码,用环境变量管理 设置合理过期时间(expiresIn),短期 token + 刷新机制更稳妥 敏感操作建议二次验证(如改密码时再输一次密码) 登出时前端清空 token 即可;如需服务端主动使 token 失效,得配合 Redis 黑名单或短生命周期 + refresh token 方案
基本上就这些。JWT 不复杂但容易忽略细节,关键是理解“谁签的、谁验的、数据在哪、怎么防篡改”。
以上就是javascript的jwt是什么_如何实现身份验证?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1542667.html
微信扫一扫 
支付宝扫一扫 
