您好,登錄后才能下訂單哦!
1.什么是token
token的意思是“令牌”,是服務(wù)端生成的一串字符串,作為客戶端進(jìn)行請求的一個(gè)標(biāo)識(shí)。
token是在服務(wù)端產(chǎn)生的。如果前端使用用戶名和密碼向服務(wù)端發(fā)送請求認(rèn)證,服務(wù)端認(rèn)證成功,那么在服務(wù)端會(huì)返回token給前端。
前端可以在每次請求的時(shí)候帶上token證明自己的合法地位。如果token在服務(wù)端持久化,那他就是一個(gè)永久的身份令牌。
2.什么是jwt
jwt,即JSON Web Token的縮寫,是一個(gè)開放標(biāo)準(zhǔn)(RFC 7519),它定義了一種緊湊且獨(dú)立的方式,用于在各方之間作為JSON對象安全地傳輸信息。
jwt由三個(gè)部分組成,它們之間用.分開,通常如下所示xxxxx.yyyyy.zzzzz,
第一個(gè)部分為Header,由兩部分組成,類型和算法,例如
{ "alg": "HS256", // 算法 "typ": "JWT" // 類型 }
第二個(gè)部分為Payload,用來存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 規(guī)定了7個(gè)官方字段,供選用。例如:
{ iss (issuer):簽發(fā)人 exp (expiration time):過期時(shí)間 sub (subject):主題 aud (audience):受眾 nbf (Not Before):生效時(shí)間 iat (Issued At):簽發(fā)時(shí)間 jti (JWT ID):編號(hào) }
除了官方字段,你還可以在這個(gè)部分定義私有字段,下面就是一個(gè)例子。
{ "sub": "1234567890", "name": "John Doe", "admin": true }
請注意,對于token,此信息雖然可以防止被篡改,但任何人都可以讀取。除非加密,否則不要將秘密信息放在JWT的Payload或Header元素中。
第三部分為Signature,Signature 部分是對前兩部分的簽名,防止數(shù)據(jù)篡改。
首先,需要指定一個(gè)密鑰(secret)。這個(gè)密鑰只有服務(wù)器才知道,不能泄露給用戶。然后,使用 Header 里面指定的簽名算法(默認(rèn)是 HMAC SHA256),按照下面的公式產(chǎn)生簽名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
算出簽名以后,把 Header、Payload、Signature 三個(gè)部分拼成一個(gè)字符串,每個(gè)部分之間用"點(diǎn)"(.)分隔,就可以返回給用戶。
3.使用node簽發(fā)token
首先需要下載jwt的依賴包
npm install jsonwebtoken
然后在文件中使用
var jwt = require('jsonwebtoken') const payload = { name: 'boom' } const secret = 'JQREAD' const token = jwt.sign(payload, secret) // 簽發(fā) console.log(token)
用 jwt.sign(payload, secret)
就可以簽發(fā)token了,然后返回給前端,前端將返回的token保存在localstorage里或sessionstorage里
4.使用node驗(yàn)證token
在用戶完成登錄獲得token并保存后,此后每次請求后臺(tái)把token放在請求頭中,例如:
const guestToken = getStorage('token') if (guestToken) { config.headers['X-GuestToken'] = guestToken }
然后再后臺(tái)驗(yàn)證token
var token = req.headers['x-guesttoken'] const secret = 'JQREAD' // secret要與簽發(fā)時(shí)一致 jwt.verify(token, secret, (err, decoded) => { if(err){ console.log(err) return } console.log(decoded) }
驗(yàn)證失敗會(huì)打印出 Invalid Signature
驗(yàn)證成功會(huì)打印簽發(fā)時(shí)的payload數(shù)據(jù),然后就可以繼續(xù)進(jìn)行操作,返回?cái)?shù)據(jù)了。
總結(jié)
以上所述是小編給大家介紹的在node中使用jwt簽發(fā)與驗(yàn)證token的方法,希望對大家有所幫助,如果大家有任何疑問歡迎給我留言,小編會(huì)及時(shí)回復(fù)大家的!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。