1.什么是jwt?
JSON Web Token(JWT)是一种客户端保存登录状态的解决方案
优点和使用redis保存登录状态一样, 能更好的支持分布式架构;
什么是分布式架构,就是后端程序运行在多台服务器上的时候,如果登陆状态存储在session中,那么登陆后,如果用户请求的是另一台服务器,各台服务器之间的数据不是共享的,就没法获取用户认证信息了;所以对分布式架构,要么把认证信息存储在redis上,各台服务器去redis那里获取认证信息,只要redis正常开启就能获取,而且服务器即便崩溃了,redis中认证数据也还是存在的,用户不会因为服务器的重启而需要重新登陆;除了用redis存储,也可以用JWT存储,即将认证信息存储在客户端,这样也能支持分布式架构;
2.jwt格式 (Header.Payload .Signature )
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJpZCI6NSwidXNlcm5hbWUiOiJ6aGFvbGl1IiwiZW1haWwiOm51bGwsInBob25lIjpudWxsLCJjcmVhdGVkQXQiOiIyMDIwLTA3LTIzVDA3OjEzOjUzLjAwMFoiLCJ1cGRhdGVkQXQiOiIyMDIwLTA3LTIzVDA3OjEzOjUzLjAwMFoiLCJpYXQiOjE1OTU0OTE5ODAsImV4cCI6MTU5NjA5Njc4MH0.
cQGJ72tEtBZdSWo9igyMTFI9V3mt07FfNEdZcNUAFZ8
Header 头部(保存数据类型和加密方式)
Payload 负载(用户信息)
Signature 签名(用户信息的指纹)
例如: 现在JWT中保存的是张三, 那么当前的签名就是张三的指纹
如果有人修改了JWT中保存的数据, 例如修改成了李四
将来如果拿着李四和张三的指纹进行匹配, 那么就不匹配, 那么就证明有人篡改了数据
进行JWT解析的网站
https://jwt.io/
3.jwt弊端
- JWT 的最大缺点是,由于服务器不保存登录状态,因此无法在使用过程中废止某个登录状态,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
- JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
- 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
登陆状态的客户端存储有三种存储位置:
(1)cookie: 如果存储的内容体积不大,可以存储在cookie中;
(2) sessionStorage: 如果不需要持久化存储,可以将token存储在这里;
(3)localStorage: 如果体积较大, 又需要持久化存储,可以将token存储在这里;
如何使用jwt?
- 服务端生成jwt令牌,发送给客户端
- 客户端将令牌保存到cookie或者sessionStorage、localStorage中
- 客户端每次发送请求将令牌一并发送到服务端
- 服务端通过密钥验证令牌
jwt前端步骤
//第一步:将登陆成功后服务端发送过来的token存储在sessionStorage中
//去请求登陆接口loginUser
loginUser(this.loginData)
.then((data: any)