本文介绍了在Express-JWT更新到6.0.0版本后,需要在配置中添加'algorithms'属性以设置JWT的签名算法。重点对比了HS256(对称算法)和RS256(非对称算法)的安全性和使用场景。RS256在安全性方面更优,适用于不能确保密钥安全的情况。在实际开发中,选择合适的签名算法对于应用的安全性至关重要。
Error: algorithms should be set
at module.exports (C:\Users\czg\Desktop\code\sever\node_modules\express-jwt\lib\index.js:22:34)
at Object. (C:\Users\czg\Desktop\code\sever\app.js:26:9)
原来出错的代码:
app.use(expressJWT({
secret: PRIVATE_KEY
}).unless({
path: ['/api/user/register', '/api/user/login'] //⽩名单,除了这⾥写的地址,其他的URL都需要验证
}));
2020年7月7日在express-jwt更新之后,安装使用express-jwt模块会默认为6.0.0版本,更新后的express-jwt需要在配置中加入algorithms属性,即设置jwt的算法。一般HS256为配置algorithms的默认值。
加上algorithms后不在报错。
app.use(expressJWT({
secret: PRIVATE_KEY,
algorithms: ['HS256'],
}).unless({
path: ['/api/user/register', '/api/user/login'] //⽩名单,除了这⾥写的地址,其他的URL都需要验证
}));
JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。
签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。
RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)。
另一方面, HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密。
在开发应用的时候启用JWT,使用RS256更加安全,你可以控制谁能使用什么类型的密钥。另外,如果你无法控制客户端,无法做到密钥的完全保密,RS256会是个更佳的选择,JWT的使用方只需要知道公钥。
由于公钥通常可以从元数据URL节点获得,因此可以对客户端进行进行编程以自动检索公钥。如果采用这种方式,从服务器上直接下载公钥信息,可以有效的减少配置信息。
扫一扫
308
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
