参考答案:
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息
在目前前后端分离的开发过程中,使用token
鉴权机制用于身份验证是最常见的方案,流程如下:
Token
,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以.
进行拼接。其中头部和载荷都是以JSON
格式存放数据,只是进行了编码
每个JWT都会带有头部信息,这里主要声明使用的算法。声明算法的字段名为alg
,同时还有一个typ
的字段,默认JWT
即可。以下示例中算法为HS256
1{ "alg": "HS256", "typ": "JWT" }
因为JWT是字符串,所以我们还需要对以上内容进行Base64编码,编码后字符串如下:
1eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
载荷即消息体,这里会存放实际的内容,也就是Token
的数据声明,例如用户的id
和name
,默认情况下也会携带令牌的签发时间iat
,通过还可以设置过期时间,如下:
1{ 2 "sub": "1234567890", 3 "name": "John Doe", 4 "iat": 1516239022 5}
同样进行Base64编码后,字符串如下:
1eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
签名是对头部和载荷内容进行签名,一般情况,设置一个secretKey
,对前两个的结果进行HMACSHA25
算法,公式如下:
1Signature = HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey)
一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致
Token
的使用分成了两部分:
借助第三方库jsonwebtoken
,通过jsonwebtoken
的 sign
方法生成一个 token
:
第一个参数指的是 Payload
第二个是秘钥,服务端特有
第三个参数是 option,可以定义 token 过期时间
1const crypto = require("crypto"), 2 jwt = require("jsonwebtoken"); 3// TODO:使用数据库 4// 这里应该是用数据库存储,这里只是演示用 5let userList = []; 6 7class UserController { 8 // 用户登录 9 static async login(ctx) { 10 const data = ctx.request.body; 11 if (!data.name || !data.password) { 12 return ctx.body = { 13 code: "000002", 14 message: "参数不合法" 15 } 16 } 17 const result = userList.find(item => item.name === data.name && item.password === crypto.createHash('md5').update(data.password).digest('hex')) 18 if (result) { 19 // 生成token 20 const token = jwt.sign( 21 { 22 name: result.name 23 }, 24 "test_token", // secret 25 { expiresIn: 60 * 60 } // 过期时间:60 * 60 s 26 ); 27 return ctx.body = { 28 code: "0", 29 message: "登录成功", 30 data: { 31 token 32 } 33 }; 34 } else { 35 return ctx.body = { 36 code: "000002", 37 message: "用户名或密码错误" 38 }; 39 } 40 } 41} 42 43module.exports = UserController;
在前端接收到token
后,一般情况会通过localStorage
进行缓存,然后将token
放到HTTP
请求头Authorization
中,关于Authorization
的设置,前面要加上 Bearer ,注意后面带有空格
1axios.interceptors.request.use(config => { 2 const token = localStorage.getItem('token'); 3 config.headers.common['Authorization'] = 'Bearer ' + token; // 留意这里的 Authorization 4 return config; 5})
使用 koa-jwt
中间件进行验证,方式比较简单
1/ 注意:放在路由前面 2app.use(koajwt({ 3 secret: 'test_token' 4}).unless({ // 配置白名单 5 path: [/\/api\/register/, /\/api\/login/] 6}))
获取token
用户的信息方法如下:
1router.get('/api/userInfo',async (ctx,next) =>{ const authorization = ctx.header.authorization // 获取jwt const token = authorization.replace('Beraer ','') const result = jwt.verify(token,'test_token') ctx.body = result
注意:上述的HMA256
加密算法为单秘钥的形式,一旦泄露后果非常的危险
在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要验证令牌
这时候可以采用非对称加密,利用私钥发布令牌,公钥验证令牌,加密算法可以选择RS256
优点:
缺点:
最近更新时间:2024-08-10