在node中使用jwt簽發(fā)與驗(yàn)證token的方法

更新時(shí)間：2019年04月03日 16:37:50 作者：金bridge

這篇文章主要介紹了在node中使用jwt簽發(fā)與驗(yàn)證token的方法，非常不錯(cuò)，具有一定的參考借鑒價(jià)值,需要的朋友可以參考下

1.什么是token

token的意思是“令牌”，是服務(wù)端生成的一串字符串，作為客戶端進(jìn)行請求的一個(gè)標(biāo)識。

token是在服務(wù)端產(chǎn)生的。如果前端使用用戶名和密碼向服務(wù)端發(fā)送請求認(rèn)證，服務(wù)端認(rèn)證成功，那么在服務(wù)端會返回token給前端。

前端可以在每次請求的時(shí)候帶上token證明自己的合法地位。如果token在服務(wù)端持久化，那他就是一個(gè)永久的身份令牌。

2.什么是jwt

jwt,即JSON Web Token的縮寫，是一個(gè)開放標(biāo)準(zhǔn)（RFC 7519），它定義了一種緊湊且獨(dú)立的方式，用于在各方之間作為JSON對象安全地傳輸信息。

jwt由三個(gè)部分組成，它們之間用.分開，通常如下所示xxxxx.yyyyy.zzzzz，

第一個(gè)部分為Header，由兩部分組成，類型和算法，例如

{
 "alg": "HS256", // 算法
 "typ": "JWT" // 類型
}

第二個(gè)部分為Payload，用來存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 規(guī)定了7個(gè)官方字段，供選用。例如：

{
 iss (issuer)：簽發(fā)人
 exp (expiration time)：過期時(shí)間
 sub (subject)：主題
 aud (audience)：受眾
 nbf (Not Before)：生效時(shí)間
 iat (Issued At)：簽發(fā)時(shí)間
 jti (JWT ID)：編號 
}

除了官方字段，你還可以在這個(gè)部分定義私有字段，下面就是一個(gè)例子。

{
 "sub": "1234567890",
 "name": "John Doe",
 "admin": true
}

請注意，對于token，此信息雖然可以防止被篡改，但任何人都可以讀取。除非加密，否則不要將秘密信息放在JWT的Payload或Header元素中。

第三部分為Signature，Signature 部分是對前兩部分的簽名，防止數(shù)據(jù)篡改。

首先，需要指定一個(gè)密鑰（secret）。這個(gè)密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認(rèn)是 HMAC SHA256），按照下面的公式產(chǎn)生簽名。

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

算出簽名以后，把 Header、Payload、Signature 三個(gè)部分拼成一個(gè)字符串，每個(gè)部分之間用"點(diǎn)"（.）分隔，就可以返回給用戶。

3.使用node簽發(fā)token

首先需要下載jwt的依賴包

npm install jsonwebtoken

然后在文件中使用

var jwt = require('jsonwebtoken')
const payload = {
   name: 'boom'
  }
const secret = 'JQREAD'
const token = jwt.sign(payload, secret) // 簽發(fā)
console.log(token)

用 jwt.sign(payload, secret) 就可以簽發(fā)token了，然后返回給前端，前端將返回的token保存在localstorage里或sessionstorage里

4.使用node驗(yàn)證token

在用戶完成登錄獲得token并保存后，此后每次請求后臺把token放在請求頭中，例如：

　　const guestToken = getStorage('token')
 if (guestToken) {
  config.headers['X-GuestToken'] = guestToken
 }

然后再后臺驗(yàn)證token

var token = req.headers['x-guesttoken']
const secret = 'JQREAD' // secret要與簽發(fā)時(shí)一致
jwt.verify(token, secret, (err, decoded) => {
  if(err){
   console.log(err)
   return
  }
  console.log(decoded)
}

驗(yàn)證失敗會打印出 Invalid Signature

驗(yàn)證成功會打印簽發(fā)時(shí)的payload數(shù)據(jù)，然后就可以繼續(xù)進(jìn)行操作，返回?cái)?shù)據(jù)了。

總結(jié)

以上所述是小編給大家介紹的在node中使用jwt簽發(fā)與驗(yàn)證token的方法，希望對大家有所幫助，如果大家有任何疑問歡迎給我留言，小編會及時(shí)回復(fù)大家的！

您可能感興趣的文章: