基于Session认证的缺点
- 扩展性不好: 如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session
解决方案:- session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据
- 所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表
JWT 的结构
- 中间用
.
分隔成三个部分
- 三个部分为: Header(头部) Payload(负载) Signature(签名)
Header
- 是一个 JSON 对象, 描述 JWT 的元数据
{ "alg": "HS256", // 签名的算法 "typ": "JWT" // Token 的类型 }
- 将上面的 JSON 对象使用 Base64URL 算法转成字符串
Payload
- 是一个 JSON 对象, 用来存放实际需要传递的数据
// 官方字段 { "iss" (issuer):签发人 "exp" (expiration time):过期时间 "sub" (subject):主题 "aud" (audience):受众 "nbf" (Not Before):生效时间 "iat" (Issued At):签发时间 "jti" (JWT ID):编号 } // 私有字段, JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分 { "sub": "1234567890", "name": "John Doe", "admin": true }
- 这个 JSON 对象也要使用 Base64URL 算法转成字符串
Signature
- Signature 部分是对前两部分的签名,防止数据篡改
JWT 的使用方式
- 客户端收到服务器端返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage
- 但是放在Cookie里不能跨域,更好的做法是放在 HTTP 请求的头信息 Authorization 字段里面
JWT 的几个特点
- JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次
- JWT 不加密的情况下,不能将秘密数据写入 JWT
- JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数
- JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑
- JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
- 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输
node 中如何使用 jsonwebtoken
jwt.sign
- jwt.sign(payload, secretOrPrivateKey, [options, callback])
- 参数 payload
可以是表示有效的 JSON 的文本对象, 缓冲区或字符串
- 参数 secretOrPrivateKey
私钥
- 参数 options
algorithm(默认值:HS256)
expiresIn(默认值: 毫秒): 60 / “2 days” / “10h” / “7d” / “120” / “120ms”
notBefore
audience
issuer
jwtid
subject
noTimestamp
header
keyid
mutatePayload - 使用
// 默认同步签名(HMAC SHA256) var jwt = require('jsonwebtoken'); var token = jwt.sign({ foo: 'bar' }, 'shhhhh'); // 使用 RSA SHA256 同步签名 var privateKey = fs.readFileSync('private.key'); var token = jwt.sign({ foo: 'bar' }, privateKey, { algorithm: 'RS256' }); // 异步签名 jwt.sign({ foo: 'bar' }, privateKey, { algorithm: 'RS256' }, function(err, token) { console.log(token); }); // 1小时之后过期 var token = jwt.sign({name: 'Jack'}, "suiyi", { expiresIn: 60 * 60 * 1; // 1 小时过期 });
登录流程
-
登录 保存客户端传来的信息
app.post('/api/login', (req, res) => { const user = { "jti": 1, "iss": "gumt.top", "user": "goolge", } jwt.sign(user,"secretkey",{ expiresIn: '1day' },(err,token) => { res.json({ token }) }) });
访问
http://192.168.1.10:5000/api/login
-
前台获得 token 并存入 localStorage
-
后台检测 token
app.post('/api/posts',verifyToken,(req,res) => { jwt.verify(req.token, 'secretkey', (err, authData) => { if(err) { res.sendStatus(403); } else { res.json({ message: 'Post created...', authData }); } }); }); function verifyToken(req, res, next) { const bearerHeader = req.headers['authorization']; if(typeof bearerHeader !== 'undefined') { const bearer = bearerHeader.split(' '); const bearerToken = bearer[1]; req.token = bearerToken; next(); } else { res.sendStatus(403); } }
在请求头中加入
Authorization
验证类型为Bearer