在node中使用jwt簽發與驗證token

-Advertisement-

1.什麼是token token的意思是“令牌”，是服務端生成的一串字元串，作為客戶端進行請求的一個標識。 token是在服務端產生的。如果前端使用用戶名和密碼向服務端發送請求認證，服務端認證成功，那麼在服務端會返回token給前端。前端可以在每次請求的時候帶上token證明自己的合法地位。如果t ...

1.什麼是token

token的意思是“令牌”，是服務端生成的一串字元串，作為客戶端進行請求的一個標識。

token是在服務端產生的。如果前端使用用戶名和密碼向服務端發送請求認證，服務端認證成功，那麼在服務端會返回token給前端。

前端可以在每次請求的時候帶上token證明自己的合法地位。如果token在服務端持久化，那他就是一個永久的身份令牌。

2.什麼是jwt

jwt,即JSON Web Token的縮寫，是一個開放標準（RFC 7519），它定義了一種緊湊且獨立的方式，用於在各方之間作為JSON對象安全地傳輸信息。

jwt由三個部分組成，它們之間用.分開，通常如下所示xxxxx.yyyyy.zzzzz，

第一個部分為Header，由兩部分組成，類型和演算法，例如

{
  "alg": "HS256", // 演算法
  "typ": "JWT" // 類型
}

第二個部分為Payload，用來存放實際需要傳遞的數據。JWT 規定了7個官方欄位，供選用。例如：

{
    iss (issuer)：簽發人
    exp (expiration time)：過期時間
    sub (subject)：主題
    aud (audience)：受眾
    nbf (Not Before)：生效時間
    iat (Issued At)：簽發時間
    jti (JWT ID)：編號   
}

除了官方欄位，你還可以在這個部分定義私有欄位，下麵就是一個例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

請註意，對於token，此信息雖然可以防止被篡改，但任何人都可以讀取。除非加密，否則不要將秘密信息放在JWT的Payload或Header元素中。

第三部分為Signature，Signature 部分是對前兩部分的簽名，防止數據篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有伺服器才知道，不能泄露給用戶。然後，使用 Header 裡面指定的簽名演算法（預設是 HMAC SHA256），按照下麵的公式產生簽名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出簽名以後，把 Header、Payload、Signature 三個部分拼成一個字元串，每個部分之間用"點"（.）分隔，就可以返回給用戶。

3.使用node簽發token

首先需要下載jwt的依賴包

npm install jsonwebtoken

然後在文件中使用

var jwt = require('jsonwebtoken')
const payload = {
          name: 'boom'
        }
const secret = 'JQREAD'
const token = jwt.sign(payload, secret)  // 簽發
console.log(token)

用 jwt.sign(payload, secret) 就可以簽發token了，然後返回給前端，前端將返回的token保存在localstorage里或sessionstorage里

4.使用node驗證token

在用戶完成登錄獲得token並保存後，此後每次請求後臺把token放在請求頭中，例如：

　　const guestToken = getStorage('token')
    if (guestToken) {
      config.headers['X-GuestToken'] = guestToken
    }

然後再後臺驗證token

var token = req.headers['x-guesttoken']
const secret = 'JQREAD' // secret要與簽發時一致
jwt.verify(token, secret, (err, decoded) => {
        if(err){
           console.log(err)
           return
        }
        console.log(decoded)
}

驗證失敗會列印出 Invalid Signature

驗證成功會列印簽發時的payload數據，然後就可以繼續進行操作，返回數據了

參考資料：

jwt.io:https://jwt.io/#debugger;

JWT:JSON Web Token - 寧浩網:https://ninghao.net/video/5020 ;

JSON Web Token 入門教程:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

獲取屏幕翻轉：var resizeEvt = 'orientationchange' in window ? 'orientationchange' : 'resize'

var resizeEvt = 'orientationchange' in window ? 'orientationchange' : 'resize'，這段是為了獲取移動端屏幕是否翻轉（手機重力感應等引起屏幕長寬變化之類的） 'orientationchange' in window 這個是判 ...
學習筆記：IDEA、原生ajax的三道練習題、Markdown

前言該從何說起呢？想寫博客好久了，正好這個學期課很少(大三)，可以靜下心來寫點東西(雖然事情依舊很多)，總感覺記錄和分享是一件很酷的事情。第一篇博客，第一次使用Markdown寫博客，第一次使用IDEA，所以有什麼錯誤的地方請指出。一.原生ajax 關於AJAX = Asynchronous J ...
HTML/CSS初步瞭解

一、CSS是什麼？它是一種用來表現HTML（標準通用標記語言的一個應用）或XML（標準通用標記語言的一個子集）等文件樣式的電腦語言。CSS為HTML標記語言提供了一種樣式描述，定義了其中元素的顯示方式。CSS在Web設計領域是一個突破。利用它可以實現修改一個小的樣式更新與之相關的所有頁面元素。 ...
webpack之理解loader

我們在寫webpack配置文件的時候，應該有註意到經常用到loader這個配置項，那麼loader是用來做什麼的呢？ loader其實是用來將源文件經過轉化處理之後再輸出新文件。如果是數組形式的話，它的執行順序是相反的，最後一個loader最早被調用，下一個loader傳入的是上一個loader的 ...
JavaScript 正則表達式

什麼是正則表達式： 1、正則表達式是由一個字元序列形成的搜索模式。 2、當你在文本中搜索數據時，你可以用搜索模式來描述你要查詢的內容。 3、正則表達式可以是一個簡單的字元，或一個更複雜的模式。 4、正則表達式可用於所有文本搜索和文本替換的操作。 5、JavaScript 中的正則表達式用 RegEx ...
vue-cli 最強指南

今天在這篇文章里，會對 vue-cli 的功能做個詳細的整理，把 vue-cli 所有的功能都列出來。註：這個是官網連接：https://cli.vuejs.org/zh/guide/ ，建議多看細看不但要看還要多想，這裡的介紹才是最全最準確的。①.vue-cli 是什麼？vue-cli 又稱為vu ...
基於Vue2-Calendar改進的日曆組件（含中文使用說明）

一，前言我是剛學Vue的菜鳥，在使用過程中需要用到日曆控制項，由於項目中原來是用jQuery寫的，因此用了bootstarp的日曆控制項，但是配合Vue實在有點蛋疼，不夠優雅…… 於是網上搜了好久找到了Vue2-Calendar，不用說，挺好用的，但是同時也發現這個組件有些問題，有些功能挺不符合我們的 ...
jquery-hide//一段hide代碼實現非同步隱藏

（本篇博客沒有什麼參考價值，只用於自己未來複習.）說白了就是通過“父親”實現非同步代碼： <!DOCTYPE html> <html> <head> <script src="/jquery/jquery-1.11.1.min.js"></script> <script type="text/ja ...