介绍
JWT(Json Web Token)是实现token技术的一种解决方案,JWT由三部分组成: header(头)、payload(载体)、signature(签名)
jsonwebtoken
cookie-parser
下载
npm install jsonwebtoken cookie-parser --save
加密
// (需要加密的对象,<自定义key>,参数)
jwt.sign(payload, secretOrPrivateKey, [options, callback])
payload参数 (与option里面的参数只能设置其中的一个 不能二者都设置)
{
iss(issuer): 签发人
exp (expiration time): 过期时间
sub (subject): 主题
aud (audience): 受众
nbf (Not Before): 生效时间
iat (Issued At): 签发时间
jti (JWT ID): 编号
}
options参数
{
algorithm:加密算法(默认值:HS256)
expiresIn:以秒表示或描述时间跨度zeit / ms的字符串。如60,"2 days","10h","7d",含义是:过期时间
notBefore:以秒表示或描述时间跨度zeit / ms的字符串。如:60,"2days","10h","7d"
audience:Audience,观众
issuer:Issuer,发行者
jwtid:JWT ID
subject:Subject,主题
noTimestamp
header
}
jwt.sign({password:"需要加密的密码",.......}, <自定义名称>, {
algorithm:"加密算法(默认是HS256)", (加密算法)
expiresIn:"60 / 2 days / 10h / 7d", (过期时间)
.......
})
验证
// 验证token的合法性
jwt.verify(token,secretOrPublicKey)
// 获取的Token包括 Bearer xxxxxxx 使用split分隔成数组 获取后面的token
let token = req.headers.authorization.split(" ")[1];
const decoded = jwt.verify(token, secretOrPrivateKey);
生成token令牌
const express = require('express')
const jwt = require('jsonwebtoken');
const cookieParser = require('cookie-parser')
const app = express()
app.use(cookieParser())
app.get('/token',(req,res)=>{
// 生成token
const token = jwt.sign({name:"name",password:"123456"},'token',{
expiresIn:"1d"
})
res.status(200).send({success:true,token:token})
})
app.listen(8000,console.log('服务器已经启动'))
存储到cookie
const express = require('express')
const jwt = require('jsonwebtoken');
const cookieParser = require('cookie-parser')
const app = express()
app.use(cookieParser())
app.get('/cookie',(req,res)=>{
const token = jwt.sign({name:"name",password:"123456"},'token',{
expiresIn:"1d"
})
req.cookies = token
console.log('Cookies: ', req.cookies)
// 存储到cookie
/**
res.cookie("key",value,options)
options
{
domain : 域名,
expires : 过期时间,
maxAge : 最大失效时间/毫秒,
secure : true (cookie在HTTP下无效 在HTTPS里面才有效),
httpOnly : false, (设置为true的时候 无法使用document.cookie读取信息 可以防止XSS攻击)
signed : true (使用res.signedCookies访问 需要在app.use(cookieParser()) 里面传参)
path:/ 表示cookie影响到的路由
}
*/
res.status(200).cookie('token', token,{ maxAge: 10000*4,signed:true,httpOnly:true }).json({ success: true, token: token })
})
app.listen(8000,console.log('服务器已经启动'))