JWT登录认证
极客飞兔 人气:0Token 认证流程
- 作为目前最流行的跨域认证解决方案,JWT(JSON Web Token) 深受开发者的喜爱,主要流程如下:
- 客户端发送账号和密码请求登录
- 服务端收到请求,验证账号密码是否通过
- 验证成功后,服务端会生成唯一的 token,并将其返回给客户端
- 客户端接受到 token,将其存储在 cookie 或者 localStroge 中
- 之后每一次客户端向服务端发送请求,都会通过 cookie 或者header 携带该 token
- 服务端验证 token 的有效性,通过才返回响应的数据
Token 认证优点
- 支持跨域访问:Cookie 是不允许跨域访问的,这一点对 Token 机制是不存在的,前提是传输的用户认证信息通过 HTTP 头传输
- 无状态: Token 机制在服务端不需要存储 session 信息,因为 Token 自身包含了所有登录用户的信息,只需要在客户端的 cookie 或本地介质存储状态信息
- 适用性更广: 只要是支持 http 协议的客户端,就可以使用 token 认证。
- 无需考虑CSRF: 由于不再依赖 cookie,所以采用 token 认证方式不会发生 CSRF,所以也就无需考虑 CSRF 的防御
JWT 结构
- 一个 JWT 实际上就是一个字符串,它由三部分组成:头部、载荷与签名。中间用点 . 分隔成三个部分。注意 JWT 内部是没有换行的。
加载全部内容