JWT 认证机制
Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端按口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。
JWT (英文全称: JSON Web Token)是目前最流行的跨域认证解决方案
jwt工作原理
总结:用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。
JWT的组成部分:
JWT 通常由三部分组成,分别是 Header (头部)、Payload (有效荷载)、Signature (签名)三者之间使用英文的“.”分隔,格式如下:
JWT的使用方式
客户端收到服务器返回的JWT 之后,通常会将它储存在 localStorage 或 sessionStorage 中。此后,客户端每次与服务器通信,都要带上这个JWT 的字符串,从而进行身份认证。推荐的做法是把JWT 放在 HTTP
请求头的 Authorization 字段中,格式如下:
在express中使用JWT
1.安装JWT 相关的包
运行如下命令,安装如下两个JWT 相关的包:
npm install jsonwebtoken express-jwt
- jsonwebtoken 用于生成JWT 字符串
- express-jwt 用于将JWT 字符串解析还原成 JSON 对象
2.导入JWT 相关的包
使用 require( )函数,分别导入JWT 相关的两个包
// 导入包
// 1、导入用于将用户信息生成jwt字符串的包
const jwt = require('jsonwebtoken');
// 2、导入用于将客户端发送过来的jwt字符串,解析还原成json用户信息对象的包
const expressJWT = require('express-jwt');
3.定义 secret 密钥
为了保证JWT 字符串的安全性,防止JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密的 secret 密钥:
- 当生成JWT 字符串的时候,需要使用secret 密钥对用户的信息进行加密, 最终得到加密好的JWT 字符串
- 当把JWT字符串解析还原成JSON 对象的时候,需要使用 secret 密钥进行解密
secret 密钥的本质: 就是一个字符串
