关于前端:nodejs实现jwt

jwt 是 json web token 的简称，本文介绍它的原理，最初后端用 nodejs 本人实现如何为客户端生成令牌 token 和校验 token

1. 为什么须要会话治理

咱们用 nodejs 为前端或者其余服务提供 resful 接口时，http 协定他是一个无状态的协定，有时候咱们须要依据这个申请的高低获取具体的用户是否有权限，针对用户的上下文进行操作。所以呈现了 cookies session 还有 jwt 这几种技术的呈现，都是对 HTTP 协定的一个补充。使得咱们能够用 HTTP 协定 + 状态治理构建一个的面向用户的 WEB 利用。

2.session 和 cookies

session 和 cookies 是有分割的，session 就是服务端在客户端 cookies 种下的 session_id, 服务端保留 session_id 所对应的以后用户所有的状态信息。每次客户端申请服务端都带上 cookies 中的 session_id, 服务端判断是否有具体的用户信息，如果没有就去调整登录。

• cookies 安全性不好，攻击者能够通过获取本地 cookies 进行坑骗或者利用 cookies 进行 CSRF 攻打。
• cookies 在多个域名下，会存在跨域问题
• session 的信息是保留在服务端下面的，当咱们 node.js 在 stke 部署多台机器的时候，须要解决共享 session，所以引出来 session 长久化问题，所以 session 不反对分布式架构，无奈反对横向扩大，只能通过数据库来保留会话数据实现共享。如果长久层失败会呈现认证失败。

3.jwt 的定义

jwt 是 json web token 的全称，他解决了 session 以上的问题，长处是服务器不保留任何会话数据，即服务器变为无状态，使其更容易扩大，什么状况下应用 jwt 比拟适合，我感觉就是受权这个场景，因为 jwt 应用起来轻便，开销小，后端无状态，所以应用比拟宽泛。

4.jwt 的原理

JWT 的原理是，服务器认证当前，生成一个 JSON 对象，发回给用户，就像上面这样。

{
  "姓名": "张三",
  "角色": "管理员",
  "到期工夫": "2018 年 7 月 1 日 0 点 0 分"
}

当前，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器齐全只靠这个对象认定用户身份。为了避免用户篡改数据，服务器在生成这个对象的时候，会加上签名。

5.jwt 的认证流程

流程阐明：

1. 浏览器发动申请登陆，携带用户名和明码；
2. 服务端依据用户名和明码到数据库验证身份，依据算法，将用户标识符打包生成 token,
3. 服务器返回 JWT 信息给浏览器，JWT 不应该蕴含敏感信息，这是很重要的一点
4. 浏览器发动申请获取用户材料，把刚刚拿到的 token 一起发送给服务器，个别放在 header 外面，字段为 authorization
5. 服务器发现数据中有 token，decode token 的信息，而后再次签名，验明正身；
6. 服务器返回该用户的用户材料；
7. 服务器能够在 payload 设置过期工夫，如果过期了，能够让客户端从新发动验证。

6.jwt 的数据结构

jwt 蕴含了应用 . 格调的三个局部

Header 头部

{"alg": "HS256", "typ": "JWT"}   
// algorithm => HMAC SHA256
// type => JWT

这是固定的写法，alg 外表要用的是 HS256 算法

Payload 负载、载荷，JWT 规定了 7 个官网字段

iss (issuer)：签发人
exp (expiration time)：过期工夫
sub (subject)：主题
aud (audience)：受众
nbf (Not Before)：失效工夫
iat (Issued At)：签发工夫
jti (JWT ID)：编号

除了这七个，能够自定义，比方过期工夫

Signature 签名

对前两局部 header 和 payload 进行签名，避免数据篡改

HMACSHA256(base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

secret 是一段字符串，后端保留，须要留神的是 JWT 作为一个令牌（token），有些场合可能会放到 URL（比方 api.example.com/?token=xxx）。Base64 有三个字符 +、/ 和 =，在 URL 外面有非凡含意，所以要被替换掉：= 被省略、+ 替换成 -，/ 替换成_。这就是 Base64URL 算法。

7.jwt 应用形式

HTTP 申请的头信息 Authorization 字段外面, Bearer 也是规定好的

Authorization: Bearer <token>

通过 url 传输（不举荐）

http://www.xxx.com/pwa?token=xxxxx

如果是 post 申请也能够放在申请体中

8. 在 koa 我的项目中应用

能够应用现成库，jwt-simple 或者 jsonwebtoken

let Koa = require('koa');
let Router = require('koa-router');
let bodyparser = require('koa-bodyparser');
let jwt = require('jwt-simple');
let router = new Router()
let app = new Koa();
app.use(bodyparser());
// 能够本人自定义
let secret;
// 验证是否登陆
router.post('/login',async(ctx)=>{let {username,password} = ctx.request.body;
    if(username === 'admin' && password === 'admin'){
       // 通常会查数据库，这里简略的演示
       let token =  jwt.encode(username, secret);
       ctx.body = {
            code:200,
            username,
            token,
       }
    }
});
// 验证是否有权限
router.get('/validate',async(ctx)=>{let Authorization = ctx.get('authorization')
    let [,token] = Authorization.split(' ');
    if(token){
        try{let r = jwt.decode(token,secret);
            ctx.body = {
                code:200,
                username:r,
                token
            }
        }catch(e){
            ctx.body = {
                code:401,
                data:'没有登陆'
            }
        }
    }else{
        ctx.body = {
            code:401,
            data:'没有登陆'
        }
    }

});
app.use(router.routes());
app.listen(4000);

1. 实现两个接口 一个是/login 验证是否登录，一个是 validate, 验证是否有权限
2. 申请 login 接口的时候，客户端带 username 和 password, 后端个别会查数据库，验证是否存在以后用户，如果存在则为 username 进行签名，千万不要给 password 这些敏感信息也带进来签名
3. 客户端接管后端给的 token 令牌，再申请其余接口，比方这个例子的 /validate 的时候，ajax 申请的时候，能够在 header 指定 authorization 字段，后端拿到 token 进行 decode，而后将 header 和 payload 进行再一次的签名，如果前后的签名统一，阐明没有被篡改过，则权限验证通过。因为是同步的过程，所以能够用 try catch 来捕获谬误

9. 原理的实现

1. sha256 哈希算法，能够用 nodejs 的内置加密模块 crypto, 生成 base64 字符串，要留神的是生成 base64 须要为 + – = 做一下替换，= 被省略、+ 替换成 -，/ 替换成_。这就是 Base64URL 算法。
2. token 令牌的组成是 header, payload 和 sigin 的通过 . 来组成
3. base64urlUnescape 的解码是固定写法，decode 出 base64 的内容

let myJwt = {sign(content,secret){let r = crypto.createHmac('sha256',secret).update(content).digest('base64');
        return this.base64urlEscape(r)
    },
    base64urlEscape(str){return str.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
    },
    toBase64(content){return this.base64urlEscape(Buffer.from(JSON.stringify(content)).toString('base64'))
    },
    encode(username,secret){let header = this.toBase64({ typ: 'JWT', alg: 'HS256'});
        let content = this.toBase64(username);
        let sign = this.sign([header,content].join('.'),secret);
        return  [header,content,sign].join('.')
    },
    base64urlUnescape(str) {str += new Array(5 - str.length % 4).join('=');
        return str.replace(/\-/g, '+').replace(/_/g, '/');
    },
    decode(token,secret){let [header,content,sign] = token.split('.');
        let newSign = this.sign([header,content].join('.'),secret);
        if(sign === newSign){return Buffer.from(this.base64urlUnescape(content),'base64').toString();}else{throw new Error('被篡改')
        }
    }
}

参考 前端进阶面试题具体解答

10.jwt 的优缺点

1. JWT 默认不加密，但能够加密。生成原始令牌后，能够应用改令牌再次对其进行加密。
2. 当 JWT 未加密办法是，一些私密数据无奈通过 JWT 传输。
3. JWT 不仅可用于认证，还可用于信息替换。善用 JWT 有助于缩小服务器申请数据库的次数。
4. JWT 的最大毛病是服务器不保留会话状态，所以在应用期间不可能勾销令牌或更改令牌的权限。也就是说，一旦 JWT 签发，在有效期内将会始终无效。
5. JWT 自身蕴含认证信息，因而一旦信息泄露，任何人都能够取得令牌的所有权限。为了缩小盗用，JWT 的有效期不宜设置太长。对于某些重要操作，用户在应用时应该每次都进行进行身份验证。
6. 为了缩小盗用和窃取，JWT 不倡议应用 HTTP 协定来传输代码，而是应用加密的 HTTPS 协定进行传输。