面试情景
面试官:项目中有做登录验证的功能吗?是怎么实现用户身份验证的呢?
回答:使用了jsonwebtoken这种机制,也就是jwt,如果用户是第一次登录,服务端会将用户信息用密钥签名,然后将签名附在用户信息(即payload)后面,最后生成jwt token发回给客户端。
回答:客户端下次发送请求时会携带这个jwt token,服务端对jwt token中的签名部分解密,得到用户登录信息,再和jwt token中的用户信息比对,从而验证用户身份。
面试官:你的项目中jwt选择保存在什么地方?有没有考虑安全性?
回答:前端拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里面。但存放在web存储之中的缺点是容易遭受到XSS攻击。
当然jwt也可以存放在cookie中,可以制定httponly来防止被JavaScript读取,也可以制定secure来保证token只在HTTPS下传输。但这样做的缺点是容易遭受CSRF攻击。
面试官:说说jwt和token的区别?
jwt和token其实都会根据用户信息签名之后生成一个token发回给客户端,相似度很高,只不过使用token机制时,解密token后需要用解密出来的数据再去数据库查询用户信息;但如果使用jwt机制,jwt token中已经包含了用户信息,可以直接比对验证,不用查询数据库。
在node.js中使用jsonwebtoken
用npm工具安装完jsonwebtoken后,调用sign函数就可以对用户信息进行签名,然