摘要:什么是官方給出的定義是是一個(gè)開放標(biāo)準(zhǔn)�����,它定義了一種緊湊的獨(dú)立的方式�,用于安全地在當(dāng)事人之間傳遞信息作為一個(gè)對(duì)象。結(jié)構(gòu)由下面三個(gè)部分組成一個(gè)字符串通常由兩個(gè)部分組成令牌的�����,即�,以及正在使用的散列算法�����,如或。
什么是JSON Web Token ?
官方給出的定義是:
JSON Web Token(JWT)是一個(gè)開放標(biāo)準(zhǔn)(RFC 7519)�,它定義了一種緊湊的、獨(dú)立的方式���,用于安全地在當(dāng)事人之間傳遞信息作為一個(gè)JSON對(duì)象���。這些信息可以被驗(yàn)證和信任,因?yàn)樗菙?shù)字簽名的��。JWTs可以使用一個(gè)secret (使用HMAC算法)或使用RSA的公鑰/私鑰對(duì)來(lái)簽名�。 文中我們使用公私鑰的加密方式。
結(jié)構(gòu)
由下面三個(gè)部分組成一個(gè)token字符串
Header
header通常由兩個(gè)部分組成:令牌的type����,即JWT,以及正在使用的散列算法����,如HMAC SHA256或RSA。
Payload ,包含三個(gè)類型�����,自定義部分可以存儲(chǔ)一些信息��,如:用戶信息、角色等���;
Registered claims:已注冊(cè)的���,具體屬性,點(diǎn)擊傳送
Public claims:自定義的���,具體屬性�����,點(diǎn)擊傳送
Private claims:這是在同意使用它們的各方之間共享信息的自定義聲明�,并且既沒有注冊(cè)也沒有公開聲明��。
Signature
使用header��、payload和secret生成一個(gè)簽名
工作流程
這里直接使用官網(wǎng)的圖
他的優(yōu)點(diǎn)是什么���?
使用json傳輸數(shù)據(jù),因此在編碼時(shí)�,也會(huì)更小
更安全
無(wú)需在服務(wù)端保存相關(guān)信息,只需要驗(yàn)證token是否有效即可
代碼實(shí)現(xiàn)
這里使用express來(lái)創(chuàng)建一個(gè)服務(wù)
創(chuàng)建一個(gè)入口文件��,主要用于一些中間件的掛載
//index.js
const express = require("express")
const app = express()
// 使用body-parser獲取請(qǐng)求body
const bodyParser = require("body-parser");
const cookieParser = require("cookie-parser")
// 引入路由中間件
const routerAdmin = require("./app/router-admin")
app.use(bodyParser.json()); // for parsing application/json
app.use(bodyParser.urlencoded({ extended: true })); // for parsing application/x-www-form-urlencoded
app.use(cookieParser())
// 加載路由模塊
app.use("/admin",routerAdmin);
app.listen(3000,function(){
console.log("port 3000 start")
})
然后創(chuàng)建一個(gè) app/router-admin.js 生成需要用到認(rèn)證的路由中間件,這里我是在mongodb中取的用戶信息���,也可以自行模擬數(shù)據(jù)
//router-admin.js
const express = require("express")
const router = express.Router()
var MongoClient = require("mongodb").MongoClient;
const jwt = require("jsonwebtoken")
const fs = require("fs")
// const secretStr = "sdfsjfklsjfiewjwoieow"
// 根據(jù)mongodb生成的_id查詢數(shù)據(jù)
var ObjectId = require("mongodb").ObjectId
var url = "mongodb://localhost:27017/";
var payload = {
user : "william",
admin : true
}
router.post("/login",function(req,res){
let name = req.body.name,
pwd = req.body.pwd;
var cert = fs.readFileSync("./private.key")
MongoClient.connect(url, function(err, db) {
if (err) throw err;
var dbo = db.db("blog");
var noSqlStr = {name:name,pwd:pwd}
dbo.collection("userlist"). find(noSqlStr).toArray(function(err, result) { // 返回集合中所有數(shù)據(jù)
if (err) throw err;
// console.log(result);
// 驗(yàn)證通過(guò)��,服務(wù)端回傳token
if(!!result.length){
var token = jwt.sign(payload, cert, { algorithm: "RS256" ,expiresIn:"30s"});
res.send({
status : true,
msg : "",
token : token
})
}
db.close();
});
});
})
// 驗(yàn)證jsonwebtoken是否過(guò)期的中間件���,在login接口后面執(zhí)行,除了login接口的請(qǐng)求外�,其他接口都需要驗(yàn)證token
router.use(function jwtVerify(req, res, next) {
let token = req.get("token")
console.log(token)
var cert = fs.readFileSync("./public.key");
// 先解密
jwt.verify(token, cert,function(err,decoded){
if(err || !decoded) res.send({data:null,status:false,msg:err})
if(decoded.user == payload.user){
next();
}
});
});
router.get("/search",function(req,res){
res.send({data:"查詢成功",msg:"",status:true})
})
module.exports = router
因?yàn)檫@里使用的是公私鑰的加密方式,需使用ssh-keygen生成公私鑰
私鑰生成:ssh-keygen -t rsa -b 2048 -f private.key
公鑰生成:openssl rsa -in private.key -pubout -outform PEM -out public.key
完整項(xiàng)目地址
參考
https://jwt.io/introduction/
https://tools.ietf.org/html/r...
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/95364.html
