Node使用koa2实现一个简单JWT鉴权的方法


Posted in Javascript onJanuary 26, 2021

JWT 简介

什么是 JWT

全称 JSON Web Token , 是目前最流行的跨域认证解决方案。基本的实现是服务端认证后,生成一个 JSON 对象,发回给用户。用户与服务端通信的时候,都要发回这个 JSON 对象。

JSON 类似如下:

{
 "姓名": "张三",
 "角色": "管理员",
 "到期时间": "2018年7月1日0点0分"
}

为什么需要 JWT

先看下一般的认证流程,基于 session_idCookie 实现

1、用户向服务器发送用户名和密码。

2、服务器验证通过后,在当前对话( session )里面保存相关数据,比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id ,写入用户的 Cookie

4、用户随后的每一次请求,都会通过 Cookie ,将 session_id 传回服务器。

5、服务器收到 session_id ,找到前期保存的数据,由此得知用户的身份。

但是这里有一个大的问题, 假如是服务器集群,则要求 session 数据共享,每台服务器都能够读取 session 。这个实现成本是比较大的。

JWT 转换了思路,将 JSON 数据返回给前端的,前端再次请求时候将数据发送到后端,后端进行验证。也就是服务器是无状态的,所以更加容易拓展。

JWT 的数据结构

JWT 的三个部分依次如下:

Header (头部),类似如下

{
 "alg": "HS256",
 "typ": "JWT"
}

alg 属性表示签名的算法( algorithm ),默认是 HMAC SHA256 (写成 HS256 )。 typ 属性表示这个令牌( token )的类型( type ), JWT 令牌统一写为 JWT

Payload (负载)。也是一个 JSON ,用来存放实际需要传递的数据。 JWT 规定了 7 个官方字段。如下所示

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

当然也可以自定义私有字段。 但是要注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

Signature (签名)。 Signature 部分是对前两部分的签名,防止数据篡改。首先,需要指定一个密钥( secret )。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256 ),按照下面的公式产生签名。

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

算出签名以后,把 HeaderPayloadSignature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。如下所示

Node使用koa2实现一个简单JWT鉴权的方法

JWT 的安全

  • JWT 默认是不加密,但也是可以加密的。 JWT 不加密的情况下,不能将秘密数据写入 JWT
  • JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用, JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
  • 为了减少盗用, JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输

Node 简单demo—— Koa JWT 的实现

说完理论知识,我们来看下如何实现 JWT ,大致的流程如下:

Node使用koa2实现一个简单JWT鉴权的方法

首先,用户登录后服务端根据用户信息生成并返回 token 给到客户端,前端在下次请求中把 token 带给服务器,服务器验证有效后,返回数据。无效的话,返回 401 状态码

这里我们用 Node 实现,主要用到的两个库有

Node.js 应用:Koa2 使用 JWT 进行鉴权

到此这篇关于Node使用koa2实现一个简单JWT鉴权的方法的文章就介绍到这了,更多相关Node koa2 JWT鉴权内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Javascript 相关文章推荐
枚举的实现求得1-1000所有出现1的数字并计算出现1的个数
Sep 10 Javascript
jQuery插件实现文件上传功能(支持拖拽)
Aug 27 Javascript
Js遍历键值对形式对象或Map形式的方法
Aug 08 Javascript
js实现文字超出部分用省略号代替实例代码
Sep 01 Javascript
基于javascript实现最简单选项卡切换
Feb 01 Javascript
JS实现隔行换色的表格排序
Mar 27 Javascript
Angular中实现树形结构视图实例代码
May 05 Javascript
AngularJS 实现点击按钮获取验证码功能实例代码
Jul 13 Javascript
Vue中自定义全局组件的实现方法
Dec 08 Javascript
浅谈Vue.js组件(二)
Apr 09 Javascript
基于aotu.js实现微信自动添加通讯录中的联系人功能
May 28 Javascript
原生JS封装vue Tab切换效果
Apr 28 Vue.js
vue3 watch和watchEffect的使用以及有哪些区别
Jan 26 #Vue.js
vue实现轮播图帧率播放
Jan 26 #Vue.js
vue 组件基础知识总结
Jan 26 #Vue.js
深入了解Vue动态组件和异步组件
Jan 26 #Vue.js
如何在 Vue 表单中处理图片
Jan 26 #Vue.js
Vue实现摇一摇功能(兼容ios13.3以上)
Jan 26 #Vue.js
原生js实现九宫格拖拽换位
Jan 26 #Javascript
You might like
我的论坛源代码(四)
2006/10/09 PHP
使用PHP导出Word文档的原理和实例
2013/10/21 PHP
PHP中使用smarty生成静态文件的例子
2014/04/24 PHP
php字符串操作针对负值的判断分析
2016/07/28 PHP
javascript Xml增删改查(IE下)操作实现代码
2009/01/30 Javascript
Prototype PeriodicalExecuter对象 学习
2009/07/19 Javascript
JavaScript访问样式表代码
2010/10/15 Javascript
Jquery实现弹出层分享微博插件具备动画效果
2013/04/03 Javascript
获取表单控件原始(初始)值的方法
2013/08/21 Javascript
js 获取、清空input type="file"的值示例代码
2014/02/19 Javascript
理解jQuery stop()方法
2014/11/21 Javascript
JS数组(Array)处理函数整理
2014/12/07 Javascript
JS动态日期时间的获取方法
2015/09/28 Javascript
深入剖析JavaScript面向对象编程
2016/07/12 Javascript
Web前端开发之水印、图片验证码
2016/11/27 Javascript
node.js爬虫爬取拉勾网职位信息
2017/03/14 Javascript
Vue实现点击导航栏当前标签后变色功能
2020/08/19 Javascript
利用 Chrome Dev Tools 进行页面性能分析的步骤说明(前端性能优化)
2021/02/24 Javascript
python用于url解码和中文解析的小脚本(python url decoder)
2013/08/11 Python
Python采用socket模拟TCP通讯的实现方法
2014/11/19 Python
matplotlib绘制符合论文要求的图片实例(必看篇)
2017/06/02 Python
Python实现抓取HTML网页并以PDF文件形式保存的方法
2018/05/08 Python
python正则表达式之对号入座篇
2018/07/24 Python
对Pandas MultiIndex(多重索引)详解
2018/11/16 Python
python3 实现验证码图片切割的方法
2018/12/07 Python
将tensorflow.Variable中的某些元素取出组成一个新的矩阵示例
2020/01/04 Python
Python celery原理及运行流程解析
2020/06/13 Python
django form和field具体方法和属性说明
2020/07/09 Python
如何解决flask修改静态资源后缓存文件不能及时更改问题
2020/08/02 Python
毕业生的自我评价
2013/12/30 职场文书
市场营销专业毕业生求职信
2014/03/26 职场文书
文秘班元旦晚会活动策划方案
2014/08/28 职场文书
单位工作证明
2014/10/07 职场文书
2014年教研室工作总结
2014/12/06 职场文书
幼儿园2016年感恩节活动总结
2016/04/01 职场文书
vue实现拖拽交换位置
2022/04/07 Vue.js