JWT
JWT是什么
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT的好处
- Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
- Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。
基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据。用户验证后,服务端生成一个 token(hash 或 encrypt)发给客户端,客户端可以放到 cookie 或 localStorage(sessionStorage) 中,每次请求时在 Header 中带上 token ,服务端收到 token 通过验证后即可确认用户身份。
JWT 结构
JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:
- Header
- Payload
- Signature
a. Header
header典型的由两部分组成:算法名称(比如:HMAC SHA256或者RSA等等)和token的类型(“JWT”)。
{
"alg":"HS256",
"typ":"JWT"
}
在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。
b. Payload
有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT
除以上默认字段外,我们还可以自定义私有字段,如下例:
{
"sub": "xxxxxx",
"name": "xxxxx",
"admin": true
}
请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
c. Signature
签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。
Base64URL算法
作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/“和”=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"=“去掉,”+“用”-“替换,”/“用”_"替换,这就是Base64URL算法。
JWT的用法
客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。
此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。(也可以自定义)
Authorization: Bearer
当跨域时,也可以将JWT被放置于POST请求的数据主体中。
JWT问题和趋势
1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
以上内容百度一下你就知道,大部分也是ctrl+c,稍微排个版,下面附上代码,接着上篇user.js api修改 密码加密处理,jwt处理
user.js
var express = require('express');
var router = express.Router();
const userModel = require('../models/user');
const crypto = require('crypto'); //加密 哈希
const init_token = '1029uyp';
var jwt = require('jsonwebtoken');
var secretkey = 'secretkey';
//用户注册接口
router.post('/register', function (req, res, next) {
if (!req.body.username) {
res.json({
status: 1,
message: '用户名为空'
})
}
if (!req.body.password) {
res.json({
status: 1,
message: '密码为空'
})
}
if (!req.body.userMail) {
res.json({
status: 1,
message: '用户邮箱为空'
})
}
if (!req.body.userPhone) {
res.json({
status: 1,
message: '用户手机为空'
})
}
userModel.findByUsername(req.body.username, function (err, userSave) {
if (userSave.length != 0) {
res.json({
status: 1,
message: '用户已注册'
})
} else {
var registerUser = new userModel({
username: req.body.username,
password: getMD5Password(req.body.password),
userMail: req.body.userMail,
userPhone: req.body.userPhone,
userAdmin: 0,
userPower: 0,
userStop: false
})
registerUser.save(function () {
res.json({
status: 0,
message: '注册成功'
})
})
}
})
})
//用户登入
router.post('/login', function (req, res, next) {
if (!req.body.username) {
res.json({
status: 1,
message: '用户名为空'
})
}
if (!req.body.password) {
res.json({
status: 1,
message: '密码为空'
})
}
var password = getMD5Password(req.body.password); // 从前端取的密码加密后与数据库判断是否一致
userModel.findUserLogin(req.body.username, password, function (err, userSave) {
console.log(userSave)
if (userSave.length != 0) {
// var token_after = getMD5Password(userSave[0]._id);
var access_token = jwt.sign({
username: userSave[0].username
}, secretkey, {
expiresIn: 7200
});
res.json({
status: 0,
data: {
// token: token_after,
user: userSave,
access_token: access_token
},
message: "用户登入成功"
})
} else {
res.json({
status: -1,
message: "用户名或者密码错误"
})
}
})
});
//用户找回密码
router.post('/findPassword', function (req, res, next) {
if (req.body.repassword) {
if (req.body.access_token) {
if (!req.body.user_id) {
res.json({
status: -1,
message: '用户登入失败'
})
}
if (!req.body.password) {
res.json({
status: -1,
message: '用户原密码错误'
})
}
var password = getMD5Password(req.body.password);
userModel.findOne({
_id: req.body.user_id,
password:password
}, function (err, checkUser) {
if (checkUser) {
userModel.update({
_id: req.body.user_id
}, {
password: getMD5Password(req.body.repassword)
}, function (err, userUpdata) {
if (err) {
res.json({
status: -1,
message: '更改错误',
data: err
})
}
res.json({
status: 0,
message: '更改成功',
data: userUpdata
})
})
} else {
res.json({
status: -1,
message: '用户老密码错误'
})
}
})
} else {
userModel.findUserPassword(req.body.username, req.body.userMail, req.body.userPhone, function (err, userFound) {
if (userFound.length != 0) {
userModel.update({
_id: userFound[0]._id
}, {
password: getMD5Password(req.body.repassword)
}, function (err, userUpdata) {
if (err) {
res.json({
status: -1,
message: '更改失败',
data: err
})
}
res.json({
status: 0,
message: '更改成功',
data: userUpdata
})
})
} else {
res.json({
status: -1,
message: '信息错误'
})
}
})
}
} else {
if (!req.body.username) {
res.json({
status: 1,
message: '用户名为空'
})
}
if (!req.body.userMail) {
res.json({
status: 1,
message: '用户邮箱为空'
})
}
if (!req.body.userPhone) {
res.json({
status: 1,
message: '用户手机为空'
})
}
userModel.findUserPassword(req.body.username, req.body.userMail, req.body.userPhone, function (err, userFound) {
if (userFound.length != 0) {
res.json({
status: 0,
message: '验证成功,请修改密码',
data: {
username: req.body.username,
userMail: req.body.userMail,
userPhone: req.body.userPhone
}
})
} else {
res.json({
status: -1,
message: '信息错误'
})
}
})
}
})
//获取MD5
function getMD5Password(id) {
const md5 = crypto.createHash('md5')
const token_before = id + init_token
return md5.update(token_before).digest('hex')
}
module.exports = router;
入口 app.js
app.all("*",function(req,res,next){
//设置允许跨域的域名,*代表允许任意域名跨域
res.header("Access-Control-Allow-Origin","*");
//允许的header类型
res.header("Access-Control-Allow-Headers","content-type");
//跨域允许的请求方式
res.header("Access-Control-Allow-Methods","DELETE,PUT,POST,GET,OPTIONS");
if (req.method.toLowerCase() == 'options')
res.send(200); //让options尝试请求快速结束
else
next();
}),
app.use(function(req,res,next){
if(req.url !='/api/user/login' && req.url !='/api/user/register'){
//token可能存在post请求和get请求
let token = req.body.access_token || req.query.access_token || req.headers.access_token; //具体情况具体分析
if(token){
jwt.verify(token,secretkey,function(err,decode){
if(err){
res.json({
message: 'token过期,请重新登录',
resultCode: '403'
});
}else{
next();
}
})
}else{
next()
}
}else{
next();
}
})
还是待优化的,先这样处理,有什么问题欢迎交流
现在在这个get请求书籍的url拼接上access_token,值就是刚刚登入成功的access_token属性值
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRlc3QxIiwiaWF0IjoxNTY1NzA0ODU1LCJleHAiOjE1NjU3MTIwNTV9.O7K9rMddAjEJy2SHhUq1BgvhLST8pDdJHT-SqvWaIZQ"
因为是有效的,所以路由即使拦截了,一切走通
现在我有意在access_token值前加1,作为失效的access_token
以后前端传递access_token,都会拦截,不传的话就不做校验access_token是否过期。
好好学习,天天学习
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
