1.jwt介紹
介紹部分轉(zhuǎn)載自阮一峰《JSON Web Token 入門教程》
0.session 登錄
1、用戶向服務(wù)器發(fā)送用戶名和密碼��。
2���、服務(wù)器驗(yàn)證通過(guò)后���,在當(dāng)前對(duì)話(session)里面保存相關(guān)數(shù)據(jù)���,比如用戶角色、登錄時(shí)間等等�����。
3��、服務(wù)器向用戶返回一個(gè) session_id�,寫入用戶的 Cookie。
4���、用戶隨后的每一次請(qǐng)求��,都會(huì)通過(guò) Cookie�,將 session_id 傳回服務(wù)器�。
5、服務(wù)器收到 session_id�,找到前期保存的數(shù)據(jù),由此得知用戶的身份��。
1.session登錄存在的問(wèn)題
這種模式的問(wèn)題在于��,擴(kuò)展性(scaling)不好。單機(jī)當(dāng)然沒(méi)有問(wèn)題�����,如果是服務(wù)器集群�,或者是跨域的服務(wù)導(dǎo)向架構(gòu),就要求 session 數(shù)據(jù)共享����,每臺(tái)服務(wù)器都能夠讀取 session。
舉例來(lái)說(shuō)�����,A 網(wǎng)站和 B 網(wǎng)站是同一家公司的關(guān)聯(lián)服務(wù)?����,F(xiàn)在要求��,用戶只要在其中一個(gè)網(wǎng)站登錄�,再訪問(wèn)另一個(gè)網(wǎng)站就會(huì)自動(dòng)登錄�,請(qǐng)問(wèn)怎么實(shí)現(xiàn)?
一種解決方案是 session 數(shù)據(jù)持久化��,寫入數(shù)據(jù)庫(kù)或別的持久層。各種服務(wù)收到請(qǐng)求后���,都向持久層請(qǐng)求數(shù)據(jù)����。這種方案的優(yōu)點(diǎn)是架構(gòu)清晰�����,缺點(diǎn)是工程量比較大��。另外����,持久層萬(wàn)一掛了,就會(huì)單點(diǎn)失敗�����。
另一種方案是服務(wù)器索性不保存 session 數(shù)據(jù)了�,所有數(shù)據(jù)都保存在客戶端,每次請(qǐng)求都發(fā)回服務(wù)器��。JWT 就是這種方案的一個(gè)代表�。
2.原理
JWT 的原理是��,服務(wù)器認(rèn)證以后����,生成一個(gè) JSON 對(duì)象���,發(fā)回給用戶�,就像下面這樣�����。
{
"姓名": "張三",
"角色": "管理員",
"到期時(shí)間": "2018年7月1日0點(diǎn)0分"
}
以后����,用戶與服務(wù)端通信的時(shí)候�,都要發(fā)回這個(gè) JSON 對(duì)象。服務(wù)器完全只靠這個(gè)對(duì)象認(rèn)定用戶身份�����。為了防止用戶篡改數(shù)據(jù)�,服務(wù)器在生成這個(gè)對(duì)象的時(shí)候,會(huì)加上簽名(詳見(jiàn)后文)���。
服務(wù)器就不保存任何 session 數(shù)據(jù)了����,也就是說(shuō),服務(wù)器變成無(wú)狀態(tài)了��,從而比較容易實(shí)現(xiàn)擴(kuò)展���。
3.JWT 的數(shù)據(jù)結(jié)構(gòu)
實(shí)際的 JWT 大概就像下面這樣���。
它是一個(gè)很長(zhǎng)的字符串,中間用點(diǎn)(.)分隔成三個(gè)部分�����。注意����,JWT 內(nèi)部是沒(méi)有換行的,這里只是為了便于展示����,將它寫成了幾行。
JWT 的三個(gè)部分依次如下��。
- Header(頭部)
- Payload(負(fù)載)
- Signature(簽名)
寫成一行,就是下面的樣子�����。
Header.Payload.Signature
下面依次介紹這三個(gè)部分���。
Header 部分是一個(gè) JSON 對(duì)象����,描述 JWT 的元數(shù)據(jù)����,通常是下面的樣子。
{
"alg": "HS256",
"typ": "JWT"
}
上面代碼中��,alg屬性表示簽名的算法(algorithm)�,默認(rèn)是 HMAC SHA256(寫成 HS256);typ屬性表示這個(gè)令牌(token)的類型(type)�����,JWT 令牌統(tǒng)一寫為JWT�����。
最后���,將上面的 JSON 對(duì)象使用 Base64URL 算法(詳見(jiàn)后文)轉(zhuǎn)成字符串����。
3.2 Payload
Payload 部分也是一個(gè) JSON 對(duì)象��,用來(lái)存放實(shí)際需要傳遞的數(shù)據(jù)���。JWT 規(guī)定了7個(gè)官方字段���,供選用。
- iss (issuer):簽發(fā)人
- exp (expiration time):過(guò)期時(shí)間
- sub (subject):主題
- aud (audience):受眾
- nbf (Not Before):生效時(shí)間
- iat (Issued At):簽發(fā)時(shí)間
- jti (JWT ID):編號(hào)
除了官方字段����,你還可以在這個(gè)部分定義私有字段,下面就是一個(gè)例子��。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意����,JWT 默認(rèn)是不加密的,任何人都可以讀到,所以不要把秘密信息放在這個(gè)部分����。
這個(gè) JSON 對(duì)象也要使用 Base64URL 算法轉(zhuǎn)成字符串。
3.3 Signature
Signature 部分是對(duì)前兩部分的簽名��,防止數(shù)據(jù)篡改�����。
首先����,需要指定一個(gè)密鑰(secret)。這個(gè)密鑰只有服務(wù)器才知道��,不能泄露給用戶��。然后��,使用 Header 里面指定的簽名算法(默認(rèn)是 HMAC SHA256)��,按照下面的公式產(chǎn)生簽名��。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
算出簽名以后�,把 Header、Payload��、Signature 三個(gè)部分拼成一個(gè)字符串�����,每個(gè)部分之間用"點(diǎn)"(.)分隔��,就可以返回給用戶����。
3.4 Base64URL
前面提到,Header 和 Payload 串型化的算法是 Base64URL��。這個(gè)算法跟 Base64 算法基本類似����,但有一些小的不同。
JWT 作為一個(gè)令牌(token)���,有些場(chǎng)合可能會(huì)放到 URL(比如 api.example.com/?token=xxx)�����。Base64 有三個(gè)字符+�、/和=,在 URL 里面有特殊含義�,所以要被替換掉:=被省略、+替換成-���,/替換成_ �����。這就是 Base64URL 算法���。
4.JWT 的使用方式
客戶端收到服務(wù)器返回的 JWT,可以儲(chǔ)存在 Cookie 里面��,也可以儲(chǔ)存在 localStorage���。
此后��,客戶端每次與服務(wù)器通信���,都要帶上這個(gè) JWT。你可以把它放在 Cookie 里面自動(dòng)發(fā)送����,但是這樣不能跨域�����,所以更好的做法是放在 HTTP 請(qǐng)求的頭信息Authorization字段里面。
Authorization: Bearer <token>
另一種做法是����,跨域的時(shí)候,JWT 就放在 POST 請(qǐng)求的數(shù)據(jù)體里面���。
5.JWT 的幾個(gè)特點(diǎn)
(1)JWT 默認(rèn)是不加密�,但也是可以加密的�����。生成原始 Token 以后�����,可以用密鑰再加密一次��。
(2)JWT 不加密的情況下�����,不能將秘密數(shù)據(jù)寫入 JWT。
(3)JWT 不僅可以用于認(rèn)證����,也可以用于交換信息。有效使用 JWT���,可以降低服務(wù)器查詢數(shù)據(jù)庫(kù)的次數(shù)����。
(4)JWT 的最大缺點(diǎn)是�,由于服務(wù)器不保存 session 狀態(tài),因此無(wú)法在使用過(guò)程中廢止某個(gè) token��,或者更改 token 的權(quán)限�����。也就是說(shuō)����,一旦 JWT 簽發(fā)了,在到期之前就會(huì)始終有效�,除非服務(wù)器部署額外的邏輯。
(5)JWT 本身包含了認(rèn)證信息��,一旦泄露,任何人都可以獲得該令牌的所有權(quán)限���。為了減少盜用�����,JWT 的有效期應(yīng)該設(shè)置得比較短。對(duì)于一些比較重要的權(quán)限���,使用時(shí)應(yīng)該再次對(duì)用戶進(jìn)行認(rèn)證��。
(6)為了減少盜用�,JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸��,要使用 HTTPS 協(xié)議傳輸�。
2.koa2中使用jwt
1.jsonwebtoken插件
這個(gè)插件提供了生成jwt,校驗(yàn)jwt�����,解碼jwt的能力��。在項(xiàng)目中��,我們僅需要使用生成jwt,和解碼jwt的能力��。就可以了��。
生成token
const jsonwebtoken = require('jsonwebtoken');
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
const SECRET = 'laotie666'; //隨意輸入
const token = jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
這樣就生成了一串字符串��,token現(xiàn)在的值是:
"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJpZCI6MTAwLCJpYXQiOjE1ODg1MTM2NTksImV4cCI6MTU4ODUxNzI1OX0.jFXifMFFizqRUK0V5clFql4VrtrQiTaD_wpsogNi6TY"
如果我想要獲取這上面的信息����,不需要知道秘鑰,直接使用jsonwebtoken這個(gè)插件就可以了���。
const jsonwebtoken = require('jsonwebtoken');
const token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJpZCI6MTAwLCJpYXQiOjE1ODg1MTM2NTksImV4cCI6MTU4ODUxNzI1OX0.jFXifMFFizqRUK0V5clFql4VrtrQiTaD_wpsogNi6TY"
console.log(jsonwebtoken.decode(token)); // { name: 'zhangsan', id: 100, iat: 1588511684, exp: 1588515284 }
2.koa-jwt 中間件的使用
這個(gè)中間件提供了一個(gè)校驗(yàn)方法��,可以在項(xiàng)目中全局校驗(yàn)���,兩行代碼就搞定了。
const koa = require('koa');
const koajwt = require('koa-jwt');
const app = new koa();
const SECRET = 'laotie666'; // demo�,可更換
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
我們發(fā)送請(qǐng)求的時(shí)候把剛才生成的token放到請(qǐng)求頭Authorization上,如果這個(gè)token里的秘鑰����,等于koajwt里第一個(gè)參數(shù)中的secret屬性,那么就可以通過(guò)用戶驗(yàn)證�,否則返回401錯(cuò)誤����。
如果想自定義處理這個(gè)錯(cuò)誤�,可以在上方添加中間件用next().catch()對(duì)401錯(cuò)誤進(jìn)行捕獲
const koa = require('koa');
const koajwt = require('koa-jwt');
const app = new koa();
const SECRET = 'laotie666'; // demo,可更換
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
// 自定義返回結(jié)果
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
3.結(jié)合起來(lái)
分為如下幾個(gè)步驟
-
引入相應(yīng)的插件
const koa = require('koa');
const koajwt = require('koa-jwt');
const jsonwebtoken = require('jsonwebtoken');
const koabody = require('koa-body');
const app = new koa();
-
定一個(gè)秘鑰
const SECRET = 'laotie666';
-
做一個(gè)虛假的信息���,不用連接數(shù)據(jù)庫(kù)了
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
-
首先我們先進(jìn)行登錄操作�,獲取到body里的用戶名密碼��,和數(shù)據(jù)庫(kù)進(jìn)行比對(duì)��,如果無(wú)誤就用jwt插件生成token然后由瀏覽器locationstage保存起來(lái).
app.use(async (ctx, next) => {
if (ctx.path === '/api/login' && ctx.method === 'POST') {
// 登錄
// 判斷用戶名密碼是否匹配
let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
if (checkUser) {
ctx.body = {
code: 200,
msg: '登錄成功',
token: jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
}
} else {
// 登錄失敗, 用戶名密碼不正確
ctx.body = {
code: 400,
msg: '用戶名密碼不匹配'
}
}
-
下次我們發(fā)送其他請(qǐng)求的時(shí)候���,我們將token取出來(lái),放到請(qǐng)求頭里的Authorization里��,然后給token前面加上Bearer 和一個(gè)空格 ��。
-
這樣koa-jwt插件就可以對(duì)token進(jìn)行驗(yàn)證�,驗(yàn)證就是檢查秘鑰是否相等,相等就可以接著進(jìn)行請(qǐng)求�。
// 中間件對(duì)401錯(cuò)誤進(jìn)行
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
-
具體請(qǐng)求
else if (ctx.path === '/api/user' && ctx.method === 'GET') {
// 獲取用戶信息
// 中間件統(tǒng)一驗(yàn)證token
let token = ctx.header.authorization;
let payload = await util.promisify(jsonwebtoken.verify)(token.split(' ')[1], SECRET);
console.log(payload);
ctx.body = {
code: 200,
data: payload,
msg: '請(qǐng)求成功'
}
}
-
登錄請(qǐng)求
-
不攜帶token
-
攜帶token
4.完整代碼
直接node 文件名.js執(zhí)行即可啟動(dòng)服務(wù)。
const koa = require('koa');
const koajwt = require('koa-jwt');
const jsonwebtoken = require('jsonwebtoken');
const util = require('util');
const koabody = require('koa-body');
const app = new koa();
const SECRET = 'laotie666'; // demo�,可更換
app.use(koabody());
// 中間件對(duì)token進(jìn)行驗(yàn)證
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
// 示例
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
// 登錄接口簽發(fā)token, 為了簡(jiǎn)便不使用router
app.use(async (ctx, next) => {
if (ctx.path === '/api/login' && ctx.method === 'POST') {
// 登錄
// 判斷用戶名密碼是否匹配
let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
if (checkUser) {
ctx.body = {
code: 200,
msg: '登錄成功',
token: jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
}
} else {
// 登錄失敗, 用戶名密碼不正確
ctx.body = {
code: 400,
msg: '用戶名密碼不匹配'
}
}
} else if (ctx.path === '/api/user' && ctx.method === 'GET') {
// 獲取用戶信息
// 中間件統(tǒng)一驗(yàn)證token
let token = ctx.header.authorization;
let payload = await util.promisify(jsonwebtoken.verify)(token.split(' ')[1], SECRET);
console.log(payload);
ctx.body = {
code: 200,
data: payload,
msg: '請(qǐng)求成功'
}
}
})
app.listen(3000, function () {
console.log('listening 3000');
});
|
