1.什么是token
token的意思是“令牌”,是服務端生成的一串字符串�����,作為客戶端進行請求的一個標識�。
token是在服務端產生的。如果前端使用用戶名和密碼向服務端發送請求認證��,服務端認證成功�,那么在服務端會返回token給前端。
前端可以在每次請求的時候帶上token證明自己的合法地位����。如果token在服務端持久化,那他就是一個永久的身份令牌���。
2.什么是jwt
jwt,即JSON Web Token的縮寫����,是一個開放標準(RFC 7519)��,它定義了一種緊湊且獨立的方式,用于在各方之間作為JSON對象安全地傳輸信息��。
jwt由三個部分組成���,它們之間用.分開��,通常如下所示xxxxx.yyyyy.zzzzz����,
第一個部分為Header����,由兩部分組成,類型和算法����,例如
{ "alg": "HS256", // 算法 "typ": "JWT" // 類型}第二個部分為Payload,用來存放實際需要傳遞的數據�����。JWT 規定了7個官方字段��,供選用���。例如:
{ iss (issuer):簽發人 exp (expiration time):過期時間 sub (subject):主題 aud (audience):受眾 nbf (Not Before):生效時間 iat (Issued At):簽發時間 jti (JWT ID):編號 }除了官方字段��,你還可以在這個部分定義私有字段�,下面就是一個例子�。
{ "sub": "1234567890", "name": "John Doe", "admin": true}請注意,對于token���,此信息雖然可以防止被篡改�,但任何人都可以讀取���。除非加密�,否則不要將秘密信息放在JWT的Payload或Header元素中�。
第三部分為Signature,Signature 部分是對前兩部分的簽名�,防止數據篡改。
首先��,需要指定一個密鑰(secret)�。這個密鑰只有服務器才知道,不能泄露給用戶����。然后,使用 Header 里面指定的簽名算法(默認是 HMAC SHA256),按照下面的公式產生簽名�����。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
算出簽名以后���,把 Header�、Payload���、Signature 三個部分拼成一個字符串�,每個部分之間用"點"(.)分隔���,就可以返回給用戶���。
3.使用node簽發token
首先需要下載jwt的依賴包
npm install jsonwebtoken
然后在文件中使用
var jwt = require('jsonwebtoken')const payload = { name: 'boom' }const secret = 'JQREAD'const token = jwt.sign(payload, secret) // 簽發console.log(token)用 jwt.sign(payload, secret) 就可以簽發token了,然后返回給前端�,前端將返回的token保存在localstorage里或sessionstorage里
4.使用node驗證token
在用戶完成登錄獲得token并保存后,此后每次請求后臺把token放在請求頭中�����,例如:
const guestToken = getStorage('token') if (guestToken) { config.headers['X-GuestToken'] = guestToken }然后再后臺驗證token
var token = req.headers['x-guesttoken']const secret = 'JQREAD' // secret要與簽發時一致jwt.verify(token, secret, (err, decoded) => { if(err){ console.log(err) return } console.log(decoded)}驗證失敗會打印出 Invalid Signature
驗證成功會打印簽發時的payload數據���,然后就可以繼續進行操作���,返回數據了。
總結
以上所述是小編給大家介紹的在node中使用jwt簽發與驗證token的方法����,希望對大家有所幫助,如果大家有任何疑問歡迎給我留言��,小編會及時回復大家的���!
