Node.js中JWT的生成和验证原理如何具体实现?
- 内容介绍
- 文章标签
- 相关推荐
本文共计888个文字,预计阅读时间需要4分钟。
1. 为什么需要会话管理?当我们使用Node.js作为前端或其它服务提供RESTful接口时,HTTP协议是无状态的,这意味着每次请求都是独立的。有时我们需要根据请求上下文获取用户权限,这时就需要会话管理来跟踪用户状态。
1.为什么需要会话管理
我们用nodejs为前端或者其他服务提供resful接口时,www.xxx.com/pwa?token=xxxxx
如果是post请求也可以放在请求体中
8.在koa项目中使用
可以使用现成库,jwt-simple 或者 jsonwebtoken
let Koa = require('koa'); let Router = require('koa-router'); let bodyparser = require('koa-bodyparser'); let jwt = require('jwt-simple'); let router = new Router() let app = new Koa(); app.use(bodyparser()); // 可以自己自定义 let secret = 'zhenglei'; // 验证是否登陆 router.post('/login',async(ctx)=>{ let {username,password} = ctx.request.body; if(username === 'admin' && password === 'admin'){ // 通常会查数据库,这里简单的演示 let token = jwt.encode(username, secret); ctx.body = { code:200, username, token, } } }); // 验证是否有权限 router.get('/validate',async(ctx)=>{ let Authorization = ctx.get('authorization') let [,token] = Authorization.split(' '); if(token){ try{ let r = jwt.decode(token,secret); ctx.body = { code:200, username:r, token } }catch(e){ ctx.body = { code:401, data:'没有登陆' } } }else{ ctx.body = { code:401, data:'没有登陆' } } }); app.use(router.routes()); app.listen(4000);
- 实现两个接口 一个是/login 验证是否登录,一个是 validate,验证是否有权限
- 请求login接口的时候,客户端带username和password, 后端一般会查数据库,验证是否存在当前用户,如果存在则为username进行签名,千万不要给password这些敏感信息也带进来签名
- 客户端接收后端给的token令牌,再请求其他接口,比如这个例子的/validate的时候,ajax请求的时候,可以在header指定authorization字段,后端拿到token进行decode,然后将header和payload进行再一次的签名,如果前后的签名一致,说明没有被篡改过,则权限验证通过。因为是同步的过程,所以可以用try catch来捕捉错误
9.原理的实现
- sha256哈希算法,可以用nodejs的内置加密模块crypto, 生成base64字符串,要注意的是生成base64需要为+ - = 做一下替换,=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。
- token令牌的组成是header, payload和sigin的通过.来组成
- base64urlUnescape的解码是固定写法,decode出base64的内容
let myJwt = { sign(content,secret){ let r = crypto.createHmac('sha256',secret).update(content).digest('base64'); return this.base64urlEscape(r) }, base64urlEscape(str){ return str.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, ''); }, toBase64(content){ return this.base64urlEscape(Buffer.from(JSON.stringify(content)).toString('base64')) }, encode(username,secret){ let header = this.toBase64({ typ: 'JWT', alg: 'HS256' }); let content = this.toBase64(username); let sign = this.sign([header,content].join('.'),secret); return [header,content,sign].join('.') }, base64urlUnescape(str) { str += new Array(5 - str.length % 4).join('='); return str.replace(/\-/g, '+').replace(/_/g, '/'); }, decode(token,secret){ let [header,content,sign] = token.split('.'); let newSign = this.sign([header,content].join('.'),secret); if(sign === newSign){ return Buffer.from(this.base64urlUnescape(content),'base64').toString(); }else{ throw new Error('被篡改') } } }
10.jwt的优缺点
- JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
- 当JWT未加密方法是,一些私密数据无法通过JWT传输。
- JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
- JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
- JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
- 为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
以上就是Node.JS如何实现JWT原理的详细内容,更多关于Node.JS 实现JWT原理的资料请关注易盾网络其它相关文章!
本文共计888个文字,预计阅读时间需要4分钟。
1. 为什么需要会话管理?当我们使用Node.js作为前端或其它服务提供RESTful接口时,HTTP协议是无状态的,这意味着每次请求都是独立的。有时我们需要根据请求上下文获取用户权限,这时就需要会话管理来跟踪用户状态。
1.为什么需要会话管理
我们用nodejs为前端或者其他服务提供resful接口时,www.xxx.com/pwa?token=xxxxx
如果是post请求也可以放在请求体中
8.在koa项目中使用
可以使用现成库,jwt-simple 或者 jsonwebtoken
let Koa = require('koa'); let Router = require('koa-router'); let bodyparser = require('koa-bodyparser'); let jwt = require('jwt-simple'); let router = new Router() let app = new Koa(); app.use(bodyparser()); // 可以自己自定义 let secret = 'zhenglei'; // 验证是否登陆 router.post('/login',async(ctx)=>{ let {username,password} = ctx.request.body; if(username === 'admin' && password === 'admin'){ // 通常会查数据库,这里简单的演示 let token = jwt.encode(username, secret); ctx.body = { code:200, username, token, } } }); // 验证是否有权限 router.get('/validate',async(ctx)=>{ let Authorization = ctx.get('authorization') let [,token] = Authorization.split(' '); if(token){ try{ let r = jwt.decode(token,secret); ctx.body = { code:200, username:r, token } }catch(e){ ctx.body = { code:401, data:'没有登陆' } } }else{ ctx.body = { code:401, data:'没有登陆' } } }); app.use(router.routes()); app.listen(4000);
- 实现两个接口 一个是/login 验证是否登录,一个是 validate,验证是否有权限
- 请求login接口的时候,客户端带username和password, 后端一般会查数据库,验证是否存在当前用户,如果存在则为username进行签名,千万不要给password这些敏感信息也带进来签名
- 客户端接收后端给的token令牌,再请求其他接口,比如这个例子的/validate的时候,ajax请求的时候,可以在header指定authorization字段,后端拿到token进行decode,然后将header和payload进行再一次的签名,如果前后的签名一致,说明没有被篡改过,则权限验证通过。因为是同步的过程,所以可以用try catch来捕捉错误
9.原理的实现
- sha256哈希算法,可以用nodejs的内置加密模块crypto, 生成base64字符串,要注意的是生成base64需要为+ - = 做一下替换,=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。
- token令牌的组成是header, payload和sigin的通过.来组成
- base64urlUnescape的解码是固定写法,decode出base64的内容
let myJwt = { sign(content,secret){ let r = crypto.createHmac('sha256',secret).update(content).digest('base64'); return this.base64urlEscape(r) }, base64urlEscape(str){ return str.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, ''); }, toBase64(content){ return this.base64urlEscape(Buffer.from(JSON.stringify(content)).toString('base64')) }, encode(username,secret){ let header = this.toBase64({ typ: 'JWT', alg: 'HS256' }); let content = this.toBase64(username); let sign = this.sign([header,content].join('.'),secret); return [header,content,sign].join('.') }, base64urlUnescape(str) { str += new Array(5 - str.length % 4).join('='); return str.replace(/\-/g, '+').replace(/_/g, '/'); }, decode(token,secret){ let [header,content,sign] = token.split('.'); let newSign = this.sign([header,content].join('.'),secret); if(sign === newSign){ return Buffer.from(this.base64urlUnescape(content),'base64').toString(); }else{ throw new Error('被篡改') } } }
10.jwt的优缺点
- JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
- 当JWT未加密方法是,一些私密数据无法通过JWT传输。
- JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
- JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
- JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
- 为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
以上就是Node.JS如何实现JWT原理的详细内容,更多关于Node.JS 实现JWT原理的资料请关注易盾网络其它相关文章!