jwt
作用:鉴权。 代替了 cookies session
jwt特点
(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。
(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
Jwt 不加密;生成Token 后可加密。过期时间短 。适合https服务
导入模块
npm install jsonwebtoken
在js文件中引用
var jwt = require("jsonwebtoken");
生成Token
var content ={msg:"today is a good day"}; // 要生成token的主题信息
var secretOrPrivateKey="I am a goog perphon!" // 这是加密的key(密钥)
var token = jwt.sign(content, secretOrPrivateKey, {
expiresIn: 60*60*24 // 24小时过期
});
console.log("token :" +token );
校验Token
var token = rq.body.token || rq.query.token || rq.headers["x-access-token"]; // 从body或query或者header中获取token
jwt.verify(token, secretOrPrivateKey, function (err, decode) {
if (err) { // 时间失效的时候/ 伪造的token
rs.json({err:err})
} else {
rq.decode = decode;
console.log(decode.msg); // today is a good day
next();
}
})
注意事项
请使用expiresIn:以秒为单位或描述的时间跨度字符串表示。如:60,”2 days”,”10h”,”7d”
verify时返回的err的值
"err": {
"name": "TokenExpiredError",
"message": "jwt expired", // token过了有效期
"expiredAt": "2016-11-07T03:31:25.000Z"
}
"err": {
"name": "JsonWebTokenError",
"message": "invalid token" // 伪造/无效的token
}
为什么要用token验证?给你留一个自学的空间!)
以下在koa框架中使用方式
koa-jwt
简介
-
koa-jwt
主要提供路有权限控制的功能,它会对需要限制的资源请求进行检查 -
token
默认被携带在Headers 中的名为Authorization的键值对中,koa-jwt
也是在该位置获取token
的-
也可以使用Cookie来提供令牌
-
app.use(jwt( { secret: 'shared-secret', passthrough:true }))
通过添加一个passthrough
选项来保证始终传递到下一个(中间件) -
app.use(jwt({ secret: 'shared-secret', key: 'jwtdata' }))
可以使用另外一ctx key
来表示解码数据,然后就可以通过ctx.state.jwtdata
代替ctx.state.user
获得解码数据 -
secret
的值可以使用函数代替,以此产生动态的加密秘钥 -
koa-jwt
依赖于jsonwebtoken
和koa-unless
两个库的
koa-jwt 示例
- 示例中使用了
jwt-simple
,也可以选择使jsonwebtoken
const Koa = require('koa')
const Router = require('koa-router')
const jwt = require('jwt-simple')
const koaBody = require('koa-body')
const koaJwt = require('koa-jwt') //路由权限控制
const app = new Koa()
const router = new Router()
//秘钥
const jwtSecret = 'jwtSecret'
const tokenExpiresTime = 1000 * 60 * 60 * 24 * 7
// Custom 401 handling if you don't want to expose koa-jwt errors to users
app.use(function(ctx, next){
return next().catch((err) => {
if (401 == err.status) {
ctx.status = 401;
ctx.body = 'Protected resource, use Authorization header to get access\n';
} else {
throw err;
}
});
});
// 将token 挂到服务岐上
app.use(koaJwt({secret:jwtSecret}).unless({
path:[/^\/login/]
}))
router.get('/', (ctx) => {
ctx.body = 'Hello koa-jwt'
})
// router.use(koaJwt(jwtSecret).unless({
// path:[/^\/login/]
// }))
router.post('/login', koaBody(), (ctx) => {
const user = ctx.request.body
if (user && user.name){
let payload = {
exp:Date.now() + tokenExpiresTime,
name:user.name
}
// 生成token
let token = jwt.encode(payload, jwtSecret)
ctx.body = {
user:user.name,
code:1,
token
}
}else {
ctx.body = {
code:-1
}
}
})
// router.use(koaJwt(jwtSecret))
router.get('/userInfo', ctx => {
let token = ctx.header.authorization
ctx.body = {
token:token,
user:ctx.state.user
}
//使用jwt-simple自行解析数据
let payload = jwt.decode(token.split(' ')[1], jwtSecret);
console.log(payload)
})
app.use(router.routes())
app.use(router.allowedMethods())
app.listen(3000, () => {
console.log('app listening 3000...')
})