JWT认证机制
JWT工作原理:、
总结:用户的信息通过Token字符串的形式,保存的客户端浏览器中。服务器通过还原Token字符串的形式来认证用户的身份。
由三部分组成:分别是Header(头部)、Payload(有效荷载)、Signature(签名)
Payload部分为真正的用户信息,经过加密后的字符串
Header和Signature是安全相关部分,为了保证Token的安全性
JWT的使用方式
存储在localStorage或SessionStorage中,并且推荐JWT放在HTTP请求头的AUuthorization字段中;Authorization: Bearer<token>
// 只要配置成功了express_-jwt中间件,就可以把解析出来的用户信息,自动挂载到req.user属性上,可通过req.user进行用户对象信息的解析
app.use(expressjwt({secret:secretKey}).unless({path:[/^\/api\//]}))
JWT相关的包
Jsonwebtoken用于生成JWT字符串
Express-jwt用于将JWT字符串解析还原成JSON用户对象