Node使用koa2实现一个简单JWT鉴权的方法


Posted in Javascript onJanuary 26, 2021

JWT 简介

什么是 JWT

全称 JSON Web Token , 是目前最流行的跨域认证解决方案。基本的实现是服务端认证后,生成一个 JSON 对象,发回给用户。用户与服务端通信的时候,都要发回这个 JSON 对象。

JSON 类似如下:

{
 "姓名": "张三",
 "角色": "管理员",
 "到期时间": "2018年7月1日0点0分"
}

为什么需要 JWT

先看下一般的认证流程,基于 session_idCookie 实现

1、用户向服务器发送用户名和密码。

2、服务器验证通过后,在当前对话( session )里面保存相关数据,比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id ,写入用户的 Cookie

4、用户随后的每一次请求,都会通过 Cookie ,将 session_id 传回服务器。

5、服务器收到 session_id ,找到前期保存的数据,由此得知用户的身份。

但是这里有一个大的问题, 假如是服务器集群,则要求 session 数据共享,每台服务器都能够读取 session 。这个实现成本是比较大的。

JWT 转换了思路,将 JSON 数据返回给前端的,前端再次请求时候将数据发送到后端,后端进行验证。也就是服务器是无状态的,所以更加容易拓展。

JWT 的数据结构

JWT 的三个部分依次如下:

Header (头部),类似如下

{
 "alg": "HS256",
 "typ": "JWT"
}

alg 属性表示签名的算法( algorithm ),默认是 HMAC SHA256 (写成 HS256 )。 typ 属性表示这个令牌( token )的类型( type ), JWT 令牌统一写为 JWT

Payload (负载)。也是一个 JSON ,用来存放实际需要传递的数据。 JWT 规定了 7 个官方字段。如下所示

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

当然也可以自定义私有字段。 但是要注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

Signature (签名)。 Signature 部分是对前两部分的签名,防止数据篡改。首先,需要指定一个密钥( secret )。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256 ),按照下面的公式产生签名。

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

算出签名以后,把 HeaderPayloadSignature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。如下所示

Node使用koa2实现一个简单JWT鉴权的方法

JWT 的安全

  • JWT 默认是不加密,但也是可以加密的。 JWT 不加密的情况下,不能将秘密数据写入 JWT
  • JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用, JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
  • 为了减少盗用, JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输

Node 简单demo—— Koa JWT 的实现

说完理论知识,我们来看下如何实现 JWT ,大致的流程如下:

Node使用koa2实现一个简单JWT鉴权的方法

首先,用户登录后服务端根据用户信息生成并返回 token 给到客户端,前端在下次请求中把 token 带给服务器,服务器验证有效后,返回数据。无效的话,返回 401 状态码

这里我们用 Node 实现,主要用到的两个库有

Node.js 应用:Koa2 使用 JWT 进行鉴权

到此这篇关于Node使用koa2实现一个简单JWT鉴权的方法的文章就介绍到这了,更多相关Node koa2 JWT鉴权内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Javascript 相关文章推荐
JS数组去重与取重的示例代码
Jan 24 Javascript
在Google 地图上实现做的标记相连接
Jan 05 Javascript
jQuery读取XML文件内容的方法
Mar 09 Javascript
jQuery实现高亮显示的方法
Mar 10 Javascript
关于数据与后端进行交流匹配(点亮星星)
Aug 03 Javascript
新入门node.js必须要知道的概念(必看篇)
Aug 10 Javascript
JS实现漂亮的时间选择框效果
Aug 20 Javascript
js仿小米手机上下滑动效果
Feb 05 Javascript
bootstrap fileinput 上传插件的基础使用
Feb 17 Javascript
JScript实现地址选择功能
Aug 15 Javascript
微信小程序用户授权,以及判断登录是否过期的方法
May 10 Javascript
js实现拖拽与碰撞检测
Sep 18 Javascript
vue3 watch和watchEffect的使用以及有哪些区别
Jan 26 #Vue.js
vue实现轮播图帧率播放
Jan 26 #Vue.js
vue 组件基础知识总结
Jan 26 #Vue.js
深入了解Vue动态组件和异步组件
Jan 26 #Vue.js
如何在 Vue 表单中处理图片
Jan 26 #Vue.js
Vue实现摇一摇功能(兼容ios13.3以上)
Jan 26 #Vue.js
原生js实现九宫格拖拽换位
Jan 26 #Javascript
You might like
PHP防止表单重复提交的几种常用方法汇总
2014/08/19 PHP
网站防止被刷票的一些思路与方法
2015/01/08 PHP
php生成4位数字验证码的实现代码
2015/11/23 PHP
php轻松实现文件上传功能
2016/03/03 PHP
PHP给前端返回一个JSON对象的实例讲解
2018/05/31 PHP
Laravel 手动开关 Eloquent 修改器的操作方法
2019/12/30 PHP
用javascript实现点击链接弹出"图片另存为"而不是直接打开
2007/08/15 Javascript
实现连缀调用的map方法(prototype)
2009/08/05 Javascript
JQUERY获取form表单值的代码
2010/07/17 Javascript
javascript获取设置div的高度和宽度兼容任何浏览器
2013/09/22 Javascript
jQuery获取Radio,CheckBox选择的Value值(示例代码)
2013/12/12 Javascript
jQuery.extend()、jQuery.fn.extend()扩展方法示例详解
2014/05/08 Javascript
基于javascript简单实现对身份证校验
2021/01/25 Javascript
Javascript实现图片不间断滚动的代码
2016/06/22 Javascript
EditPlus 正则表达式 实战(3)
2016/12/15 Javascript
AngularJS页面传参的5种方式
2017/04/01 Javascript
微信小程序开发之选项卡(窗口底部TabBar)页面切换
2017/04/12 Javascript
form表单数据封装成json格式并提交给服务器的实现方法
2017/12/14 Javascript
JavaScript基础之this和箭头函数详析
2019/09/05 Javascript
webpack4 optimization使用总结
2019/11/10 Javascript
javascript设计模式 ? 桥接模式原理与应用实例分析
2020/04/13 Javascript
tensorflow构建BP神经网络的方法
2018/03/12 Python
Python3爬虫教程之利用Python实现发送天气预报邮件
2018/12/16 Python
pandas DataFrame 删除重复的行的实现方法
2019/01/29 Python
css3 自定义字体font-face使用介绍
2014/05/14 HTML / CSS
猫途鹰:全球领先的旅游点评社区
2017/04/07 全球购物
英国旅游额外服务市场领导者:Holiday Extras(机场停车场、酒店、接送等)
2017/10/07 全球购物
Bailey帽子官方商店:Bailey Hats
2018/09/25 全球购物
init进程的作用
2012/04/12 面试题
单位单身证明范本
2014/01/11 职场文书
幼儿园家长寄语
2014/04/02 职场文书
好的促销活动方案
2014/08/21 职场文书
2015年高三教学工作总结
2015/07/21 职场文书
css display table 自适应高度、宽度问题的解决
2021/05/07 HTML / CSS
基于PostgreSQL/openGauss 的分布式数据库解决方案
2021/12/06 PostgreSQL
Java获取字符串编码格式实现思路
2022/09/23 Java/Android