3.JWT的构成
JWT是由三部分构成,将这三段信息文本用链接构成了JWT字符串, header + payload +secret = 加密的字符串 1.header 头部 2.payload 负载-------写相关的信息 { user:"签发者", exp:"token过期时间"//必须大于签发时间 } 3.secret 密钥------用来进行jwt的签发和jwt的验证,它就是你服务端的私钥,在任何场景都不应该流露出去
实际的 JWT 大概就像下面这样
它是一个很长的字符串,中间用点(.
)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。
JWT 的三个部分依次如下。
- Header(头部)
- Payload(负载)
- Signature(签名)
写成一行,就是下面的样子。
Header.Payload.Signature
1 Header
Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
{
“alg”: “HS256”,
“typ”: “JWT”
}
上面代码中,alg
属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ
属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT
。
最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。
2 Payload
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题
- aud (audience):受众
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。
4.后端JWT的构建
// 1.下载包
npm install jsonwebtoken --save-dev
// 2.引入
var JWT = require(“jsonwebtoken”);
//负载信息
let payload = {
user:“sun”,
// exp:“1000 * 60”//单位 ms
}
//密钥
let secret = “123456”;
//生成token,exporesIn为过期时间,单位:ms/h/days/d eg:1000, “2 days”, “10h”, “7d”
let token= JWT.sign(payload,secret,{expiresIn:“1h”})
//将token保存在cookie中
res.cookie(“token”,token);
5.前端请求保密性的信息(比如:必须登录后,才能查看商品的详细信息),发送JWT
//获取cookie,
var token = $.cookie(“token”);
//发起ajax请求,将token发送到后端
$.ajax({
type: “get”,
url: “/goods”,
//将信息保存在请求头中
headers: {
auth: token
}
})
6.后端验证JWT
//获取前端传来的tokenlet token = req.headers.auth;
JWT.verify(token, “密钥”, (err, decoded) => {
if (err) {
//验证失败
//console.log(“令牌失效”);
res.json({
status:false,
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)
总结一下这三次面试下来我的经验是:
-
一定不要死记硬背,要理解原理,否则面试官一深入就会露馅!
-
代码能力一定要注重,尤其是很多原理性的代码(之前两次让我写过Node中间件,Promise.all,双向绑定原理,被虐的怀疑人生)!
-
尽量从面试官的问题中表现自己知识的深度与广度,让面试官发现你的闪光点!
-
多刷面经!
我把所有遇到的面试题都做了一个整理,并且阅读了很多大牛的博客之后写了解析,免费分享给大家,算是一个感恩回馈吧,有需要的朋友【点击我】获取。祝大家早日拿到自己心怡的工作!
篇幅有限,仅展示部分内容
77 )获取。祝大家早日拿到自己心怡的工作!**
篇幅有限,仅展示部分内容