JWT认证机制
Session认证机制中需要配合cookie才能实现,由于cookie默认不支持跨域访问,当涉及到前端跨域请求后端接口时,需要做很多额外的配置,才能实现跨域session认证。所以这里不推荐使用session身份认证机制,一般推荐使用jwt认证。
目录
一、JWT的概念
二、JWT工作原理
三、JWT的组成部分
四、JWT的使用方式
五、在express中使用JWT
1.安装JWT相关的包
2.导入JWT相关的包
3.定义secret密钥
4.在登录成功后生成jwt字符串
5.将jwt字符串还原为JSON对象
6.使用req.user获取用户信息
一、JWT的概念
JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。
二、JWT工作原理
用户的信息通过token字符串的形式,保存在客户端浏览器中,服务器通过还原token字符串的形式来认证用户的身份。
三、JWT的组成部分
jwt通常由三部分组成,分别是header(头部)、payload(有效荷载)、signature(签名),三者之间使用英文的“.”分隔,格式如下:
header.payload.signature| payload | 是真正的用户信息,它是用户信息经过加密之后生成的字符串 |
| header、signature | 是安全性相关的部分,只是为了保证token的安全性 |
四、JWT的使用方式
客户端收到服务器返回的JWT之后,通常会将它储存在 localStorage 或 sessionStorage 中,此后,客户端每次与服务器通信,都要带上这个JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP请求头的 Authorization 字段中格式如下:
Authorization:Bearer<token>五、在express中使用JWT
1.安装JWT相关的包
运行如下命令,安装如下两个JWT相关的包:
npm i jsonwebtoken express-jwtjsonwebtoken:用于生成JWT字符串;
express-jwt:用于将JWT字符串解析还原成JSON对象。
2.导入JWT相关的包
使用require()函数,分别导入JWT相关的两个包:
//导入用于生成jwt字符串的包
const jwt = require('jsonwebtoken')
//导入用于将客户端发送过来的jwt字符串,解析还原成JSON对象的包
const expressJwt = require('express-jwt')3.定义secret密钥
为了保证jwt字符串的安全性,防止jwt字符串在网络传输中被别人破解,我们需要专门定义一个用于加密和解密的secret密钥:
- 当生成jwt字符串的时候,需要使用secret密钥对用户信息进行加密,最终得到加密好的jwt字符串;
- 当把jwt字符串解析还原成JSON对象的时候,需要使用secret密钥进行解密;
//设置密钥
const secret = '123456'4.在登录成功后生成jwt字符串
调用jsonwebtoken包提供的sign()方法,将用户的信息加密成jwt字符串,响应给客户端:
//登录接口
app.post('/api/login', (req, res) => {
//省略登录失败情况下的代码
//用户登录成功之后,生成jwt字符串,通过token属性响应给客户端
res.send({
code: 200,
message: 'success',
//调用jwt.sign方法生成token字符串
token:jwt.sign({username:userinfo.username}, secret, {expiresIn: '1h'})
})
})5.将jwt字符串还原为JSON对象
客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的 Authorization 字段,将 Token 字符串发送到服务器进行身份认证。此时,服务器可以通过 express-jwt 这个中间件,自动将客户端发送过来的 Token 解析还原成 JSON 对象:
//使用app.use()来注册中间件
//expressJwt({secret: secret})就是用来解析token的中间件
//.unless({path:[/^\/api\//]})用来指定那些接口不需要那些接口不需要访问权限
app.use(expressJwt({secret: secret}).unless({path:[/^\/api\//]}))6.使用req.user获取用户信息
当express-jwt这个中间件配置成功之后,即可在哪些有权限的接口中,使用req.user对象,来访问从jwt字符串中解析出来的用户信息了,示例代码如下:
//这是一个有权限的接口
app.get('/api/protected', (req, res) => {
//使用req.auth获取用户信息,并使用data属性将用户信息发送给客户端
res.send({
code: 200,
message: 'success',
data: req.auth
})
})