网站建设学的是什么知识,少儿编程加盟教育机构,购物网站推广案例,广州必去的景点排名jwt是json web token的简称#xff0c;本文介绍它的原理#xff0c;最后后端用nodejs自己实现如何为客户端生成令牌token和校验token 1.为什么需要会话管理
我们用nodejs为前端或者其他服务提供resful接口时#xff0c;http协议他是一个无状态的协议#xff0c;有时候我们… jwt是json web token的简称本文介绍它的原理最后后端用nodejs自己实现如何为客户端生成令牌token和校验token 1.为什么需要会话管理
我们用nodejs为前端或者其他服务提供resful接口时http协议他是一个无状态的协议有时候我们需要根据这个请求的上下获取具体的用户是否有权限针对用户的上下文进行操作。所以出现了cookies session还有jwt这几种技术的出现 都是对HTTP协议的一个补充。使得我们可以用HTTP协议状态管理构建一个的面向用户的WEB应用。
2.session和cookies
session和cookies是有联系的session就是服务端在客户端cookies种下的session_id, 服务端保存session_id所对应的当前用户所有的状态信息。每次客户端请求服务端都带上cookies中的session_id, 服务端判断是否有具体的用户信息如果没有就去调整登录。
cookies安全性不好攻击者可以通过获取本地cookies进行欺骗或者利用cookies进行CSRF攻击。cookies在多个域名下会存在跨域问题session的信息是保存在服务端上面的当我们node.js在stke部署多台机器的时候需要解决共享session所以引出来session持久化问题所以session不支持分布式架构无法支持横向扩展只能通过数据库来保存会话数据实现共享。如果持久层失败会出现认证失败。
3.jwt的定义
jwt是json web token的全称他解决了session以上的问题优点是服务器不保存任何会话数据即服务器变为无状态使其更容易扩展什么情况下使用jwt比较合适我觉得就是授权这个场景因为jwt使用起来轻便开销小后端无状态所以使用比较广泛。
4.jwt的原理
JWT 的原理是服务器认证以后生成一个 JSON 对象发回给用户就像下面这样。
{姓名: 张三,角色: 管理员,到期时间: 2018年7月1日0点0分
}以后用户与服务端通信的时候都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据服务器在生成这个对象的时候会加上签名。
5.jwt的认证流程
流程说明
浏览器发起请求登陆携带用户名和密码服务端根据用户名和明码到数据库验证身份根据算法将用户标识符打包生成 token,服务器返回JWT信息给浏览器JWT不应该包含敏感信息这是很重要的一点浏览器发起请求获取用户资料把刚刚拿到的 token一起发送给服务器一般放在header里面字段为authorization服务器发现数据中有 tokendecode token的信息然后再次签名验明正身服务器返回该用户的用户资料服务器可以在payload设置过期时间 如果过期了可以让客户端重新发起验证。
6.jwt的数据结构
jwt包含了使用.风格的三个部分
Header头部
{ alg: HS256, typ: JWT}
// algorithm HMAC SHA256
// type JWT这是固定的写法alg表面要用的是HS256算法
Payload 负载、载荷JWT 规定了7个官方字段
iss (issuer)签发人
exp (expiration time)过期时间
sub (subject)主题
aud (audience)受众
nbf (Not Before)生效时间
iat (Issued At)签发时间
jti (JWT ID)编号除了这七个可以自定义比如过期时间
Signature 签名
对前两部分header和payload进行签名防止数据篡改
HMACSHA256(base64UrlEncode(header) . base64UrlEncode(payload),secret)secret是一段字符串后端保存需要注意的是JWT 作为一个令牌token有些场合可能会放到 URL比如 api.example.com/?tokenxxx。Base64 有三个字符、/和在 URL 里面有特殊含义所以要被替换掉被省略、替换成-/替换成_ 。这就是 Base64URL 算法。
7.jwt使用方式
HTTP 请求的头信息Authorization字段里面, Bearer也是规定好的
Authorization: Bearer token通过url传输不推荐
http://www.xxx.com/pwa?tokenxxxxx如果是post请求也可以放在请求体中
8.在koa项目中使用
可以使用现成库jwt-simple 或者 jsonwebtoken
let Koa require(koa);
let Router require(koa-router);
let bodyparser require(koa-bodyparser);
let jwt require(jwt-simple);
let router new Router()
let app new Koa();
app.use(bodyparser());
// 可以自己自定义
let secret;
// 验证是否登陆
router.post(/login,async(ctx){ let {username,password} ctx.request.body;if(username admin password admin){// 通常会查数据库这里简单的演示let token jwt.encode(username, secret);ctx.body {code:200,username,token,}}
});
// 验证是否有权限
router.get(/validate,async(ctx){ let Authorization ctx.get(authorization)let [,token] Authorization.split( );if(token){try{let r jwt.decode(token,secret);ctx.body {code:200,username:r,token}}catch(e){ctx.body {code:401,data:没有登陆}}}else{ctx.body {code:401,data:没有登陆}}});
app.use(router.routes());
app.listen(4000);实现两个接口 一个是/login 验证是否登录一个是 validate,验证是否有权限请求login接口的时候客户端带username和password, 后端一般会查数据库验证是否存在当前用户如果存在则为username进行签名千万不要给password这些敏感信息也带进来签名客户端接收后端给的token令牌再请求其他接口比如这个例子的/validate的时候ajax请求的时候可以在header指定authorization字段后端拿到token进行decode然后将header和payload进行再一次的签名如果前后的签名一致说明没有被篡改过则权限验证通过。因为是同步的过程所以可以用try catch来捕捉错误
9.原理的实现 sha256哈希算法可以用nodejs的内置加密模块crypto, 生成base64字符串要注意的是生成base64需要为 - 做一下替换被省略、替换成-/替换成_ 。这就是 Base64URL 算法。 token令牌的组成是header, payload和sigin的通过.来组成 base64urlUnescape的解码是固定写法decode出base64的内容
let myJwt {sign(content,secret){let r crypto.createHmac(sha256,secret).update(content).digest(base64);return this.base64urlEscape(r)},base64urlEscape(str){return str.replace(/\/g, -).replace(/\//g, _).replace(//g, );},toBase64(content){return this.base64urlEscape(Buffer.from(JSON.stringify(content)).toString(base64))},encode(username,secret){let header this.toBase64({ typ: JWT, alg: HS256 });let content this.toBase64(username);let sign this.sign([header,content].join(.),secret);return [header,content,sign].join(.)},base64urlUnescape(str) {str new Array(5 - str.length % 4).join();return str.replace(/\-/g, ).replace(/_/g, /);},decode(token,secret){let [header,content,sign] token.split(.);let newSign this.sign([header,content].join(.),secret);if(sign newSign){return Buffer.from(this.base64urlUnescape(content),base64).toString();}else{throw new Error(被篡改)}}
}参考 前端进阶面试题详细解答
10.jwt的优缺点
JWT默认不加密但可以加密。生成原始令牌后可以使用改令牌再次对其进行加密。当JWT未加密方法是一些私密数据无法通过JWT传输。JWT不仅可用于认证还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。JWT的最大缺点是服务器不保存会话状态所以在使用期间不可能取消令牌或更改令牌的权限。也就是说一旦JWT签发在有效期内将会一直有效。JWT本身包含认证信息因此一旦信息泄露任何人都可以获得令牌的所有权限。为了减少盗用JWT的有效期不宜设置太长。对于某些重要操作用户在使用时应该每次都进行进行身份验证。为了减少盗用和窃取JWT不建议使用HTTP协议来传输代码而是使用加密的HTTPS协议进行传输。
