[发明专利]基于JWT验证的API用户认证方法

说明书

本发明公开了一种基于JWT验证的API用户认证方法，包括以下步骤：S1：用户登录时验证用户，验证用户通过后获取token返回给客户端；S2：创建拦截器中间件并验证token的正确性；S3：根据业务需求给不同的路由添加拦截器中间件。本发明在用户登录过程中使用JWT验证，对客户端伪造cookie信息进行了有效的防范，提高了项目的安全性；同时在数据接口中使用JWT验证，可以根据相关的业务去配置token过期时间，提高数据的安全性同时，也可以满足业务的灵活性。

技术领域

本发明涉及API验证技术领域，具体涉及基于JWT验证的API用户认证方法。

背景技术

Cookie+Session的存在主要是为了解决HTTP这一无状态协议下服务器如何识别用户的问题，其原理就是在用户登录通过验证后，服务端将数据加密后保存到客户端浏览器的Cookie中，同时服务器保留相对应的Session（文件或DB）。用户之后发起的请求都会携带Cookie信息，服务端需要根据Cookie寻回对应的Session，从而完成验证，确认这是之前登陆过的用户。

目前这种API认证方式存在以下缺点：不适合长期身份认证和短期资源、路由的认证；不适合分布式应用和多端应用；不能跨越应用和单点登录。

发明内容

本发明的目的在于提供一种基于JWT验证的API用户认证方法，解决目前的认证方式不适合长期身份认证和短期资源、路由的认证，不适合分布式应用和多端应用，不能跨越应用和单点登录的问题。

为解决上述的技术问题，本发明采用以下技术方案：

一种基于JWT验证的API用户认证方法，包括以下步骤：

S1：用户登录时验证用户，验证用户通过后获取token返回给客户端；

S2：创建拦截器中间件并验证token的正确性；

S3：根据业务需求给不同的路由添加拦截器中间件。

作为优选，所述token的结构包括头部、负荷和签名，具体结构为xxxxx.yyyyy.zzzzz，所述头部用于描述token类型和加密算法，所述负荷用于放置token有效信息，所述签名用于将头部和负荷编码后进行加密。

作为优选，所述S1步骤中，客户接收到token值后保存该token值，并在下次请求时带上该token值。

作为优选，所述S2步骤中拦截器中间件验证token正确性的方法是：首先请求路由地址，并验证token的正确性，验证成功后跳转到请求的页面，请求结束后重新生成token值返回给客户端，验证失败则返回错误信息。

作为优选，客户端能够单独请求路由生成token。

与现有技术相比，本发明的有益效果是：

本发明在用户登录过程中使用JWT验证，对客户端伪造cookie信息进行了有效的防范，提高了项目的安全性。

本发明在数据接口中使用JWT验证，可以根据相关的业务去配置token过期时间，提高数据的安全性同时，也可以满足业务的灵活性。

本发明项目中的用户信息不需要存储session，因为Token本身包含了项目中需要的用户信息。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对本发明的实施例，一种基于JWT验证的API用户认证方法，包括以下步骤：