一、什么是JWT
JWT(JSON Web Tokens),是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明,是目前最流行的跨域认证解决方案。
二、JWT工作原理
总的来说,服务器将用户的信息加密成 Token 字符串,然后将Token 字符串响应给客户端。Token 字符串保存在客户端浏览器中。之后再进行身份认证的时候,客户端通过Authorization字段将Token 字符串发给服务器,服务器通过还原 Token 字符串的形式来认证用户的身份。
三、JWT的组成部分
JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效荷载)、Signature(签名)。
下面给出一个JWT字符串示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaWF0IjoxNjk3OTAzNTg0LCJleHAiOjE2OTc5MDM4ODR9.fTUnTvzg46BfR-zsflhxZ8b-wjdPgMfohOK1DgZNg-Y
需要注意的是:
Payload 部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。Header 和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性。
四、JWT的使用方式
客户端收到服务器返回的 JWT 之后,通常会将它储存在 localStorage 或 sessionStorage 中。
此后,客户端每次与服务器通信,都要带上这个 JWT 的字符串,从而进行身份认证。
格式如下:
Authorization: Bearer <token>
要在Express中shiyongJWT需要安装jsonwebtoken和express-jwt这两个包,其中jsonwebtoken 用于生成 JWT 字符串,express-jwt 用于将 JWT 字符串解析还原成 JSON 对象。
为了保证 JWT 字符串的安全性,防止 JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密
的 secret 密钥:
① 当生成 JWT 字符串的时候,需要使用 secret 密钥对用户的信息进行加密,最终得到加密好的 JWT 字符串
② 当把 JWT 字符串解析还原成 JSON 对象的时候,需要使用 secret 密钥进行解密