1.什么是token
token的意思是“令牌”,是服務端生成的一串字符串,作為客戶端進行請求的一個標識。
token是在服務端產生的。如果前端使用用戶名和密碼向服務端發送請求認證,服務端認證成功,那么在服務端會返回token給前端。
前端可以在每次請求的時候帶上token證明自己的合法地位。如果token在服務端持久化,那他就是一個永久的身份令牌。
2.什么是jwt
jwt,即JSON Web Token的縮寫,是一個開放標准(RFC 7519),它定義了一種緊湊且獨立的方式,用於在各方之間作為JSON對象安全地傳輸信息。
jwt由三個部分組成,它們之間用.分開,通常如下所示xxxxx.yyyyy.zzzzz,
第一個部分為Header,由兩部分組成,類型和算法,例如
{ "alg": "HS256", // 算法 "typ": "JWT" // 類型 }
第二個部分為Payload,用來存放實際需要傳遞的數據。JWT 規定了7個官方字段,供選用。例如:
{
iss (issuer):簽發人
exp (expiration time):過期時間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時間
iat (Issued At):簽發時間
jti (JWT ID):編號
}
除了官方字段,你還可以在這個部分定義私有字段,下面就是一個例子。
{ "sub": "1234567890", "name": "John Doe", "admin": true }
請注意,對於token,此信息雖然可以防止被篡改,但任何人都可以讀取。除非加密,否則不要將秘密信息放在JWT的Payload或Header元素中。
第三部分為Signature,Signature 部分是對前兩部分的簽名,防止數據篡改。
首先,需要指定一個密鑰(secret)。這個密鑰只有服務器才知道,不能泄露給用戶。然后,使用 Header 里面指定的簽名算法(默認是 HMAC SHA256),按照下面的公式產生簽名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
算出簽名以后,把 Header、Payload、Signature 三個部分拼成一個字符串,每個部分之間用"點"(.)分隔,就可以返回給用戶。
3.使用node簽發token
首先需要下載jwt的依賴包
npm install jsonwebtoken
然后在文件中使用
var jwt = require('jsonwebtoken') const payload = { name: 'boom' } const secret = 'JQREAD' const token = jwt.sign(payload, secret) // 簽發 console.log(token)
用 jwt.sign(payload, secret) 就可以簽發token了,然后返回給前端,前端將返回的token保存在localstorage里或sessionstorage里
4.使用node驗證token
在用戶完成登錄獲得token並保存后,此后每次請求后台把token放在請求頭中,例如:
const guestToken = getStorage('token')
if (guestToken) {
config.headers['X-GuestToken'] = guestToken
}
然后再后台驗證token
var token = req.headers['x-guesttoken'] const secret = 'JQREAD' // secret要與簽發時一致 jwt.verify(token, secret, (err, decoded) => { if(err){ console.log(err) return } console.log(decoded) }
驗證失敗會打印出 Invalid Signature
驗證成功會打印簽發時的payload數據,然后就可以繼續進行操作,返回數據了
參考資料:
jwt.io:https://jwt.io/#debugger;
JWT:JSON Web Token - 寧浩網:https://ninghao.net/video/5020 ;
JSON Web Token 入門教程:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html