学习JWT认证机制前我们先说一下Session认证机制的局限性:
Session认证机制需要配合Cookie来实现,由于Cookie是不支持跨域的,所以涉及到前后端跨域请求的时候,需要额外配置很多,才能实现Session认证。
所以在没有跨域问题的时候推荐使用session认证,有跨域问题不推荐使用跨域推荐JWT(JSONWebToken)
1.JWT工作原理
客户端提交信息后将用户信息对象经过加密之后生成Token字符串发送给客户端储存到Localstorage或SessionStorage。
客户端再次发起请求时,通过请求头Authorzation字段将token发送给服务器,服务器把token还原成用户信息,身份认证通过后,服务器针对当前用户生成特定的内容。
简单来说就是用户信息通过token字符串形式保存在客户端浏览器,服务器通过还原token字符串的形式来认证用户身份
2.JWT组成部分
1.Header(头部)为了保证安全
2.Payload(有效载荷):用户信息段
3.Signature(签名)为了保证安全
格式:header.payload.signature
3.JWT使用方式
Authorization:Bearer<token>
4.安装JWT
npm i jsonWebtoken express-jwt
jsonwebtoken:用于生成JWT字符串
express-jwt用于将JWT字符串解析还原生成JSON对象
1.导入生成字符串包
const jwt=require('jsonwebtoken')
2.导入还原token的包
const express-jwt=require('express-jwt')
5.定义Secret密钥
保证JTW字符的安全性,防止JWT字符串被破解,需要定义一个加密和解密的secret
const secret='任意字符串'
生成JWT加密字符
jwt.sign('用户信息对象',加密密钥,'配置对象')