站長(zhǎng)資訊網(wǎng)本篇文章帶大家聊聊關(guān)于后端JWT鑒權(quán)的相關(guān)原理和如何在Node中去使用,希望對(duì)大家有所幫助,謝謝。
node.js極速入門(mén)課程:進(jìn)入學(xué)習(xí)
【相關(guān)教程推薦:nodejs視頻教程】
一、為什么使用JWT
一種技術(shù)的出現(xiàn),就是彌補(bǔ)另一種技術(shù)的的缺陷。在JWT出現(xiàn)之前,Session 認(rèn)證機(jī)制需要配合 Cookie 才能實(shí)現(xiàn)。由于 Cookie 默認(rèn)不支持跨域訪(fǎng)問(wèn),所以,當(dāng)涉及到前端跨域請(qǐng)求后端接口的時(shí)候,需要做很多額外的配置,才能實(shí)現(xiàn)跨域 Session 認(rèn)證。
注意:
- 當(dāng)前端請(qǐng)求后端接口不存在跨域問(wèn)題的時(shí)候,推薦使用 Session 身份認(rèn)證機(jī)制。
- 當(dāng)前端需要跨域請(qǐng)求后端接口的時(shí)候,不推薦使用 Session 身份認(rèn)證機(jī)制,推薦使用 JWT 認(rèn)證機(jī)制。
二、JWT是什么
JWT(英文全稱(chēng):JSON Web Token)是目前最流行的跨域認(rèn)證解決方案。本質(zhì)就是一個(gè)字符串書(shū)寫(xiě)規(guī)范,如下圖,作用是用來(lái)在用戶(hù)和服務(wù)器之間傳遞安全可靠的信息
在目前前后端分離的開(kāi)發(fā)過(guò)程中,使用token鑒權(quán)機(jī)制用于身份驗(yàn)證是最常見(jiàn)的方案,流程如下:
- 服務(wù)器當(dāng)驗(yàn)證用戶(hù)賬號(hào)和密碼正確的時(shí)候,給用戶(hù)頒發(fā)一個(gè)令牌,這個(gè)令牌作為后續(xù)用戶(hù)訪(fǎng)問(wèn)一些接口的憑證
- 后續(xù)訪(fǎng)問(wèn)會(huì)根據(jù)這個(gè)令牌判斷用戶(hù)是否有權(quán)限進(jìn)行訪(fǎng)問(wèn)
三、JWT工作原理
總結(jié):用戶(hù)的信息通過(guò) Token 字符串的形式,保存在客戶(hù)端瀏覽器中。服務(wù)器通過(guò)還原 Token 字符串的形式來(lái)認(rèn)證用戶(hù)的身份。
四、token的組成部分
Token,分成了三部分,頭部(Header)、載荷(Payload)、簽名(Signature),并以.進(jìn)行拼接。其中頭部和載荷都是以JSON格式存放數(shù)據(jù),只是進(jìn)行了編碼。格式如下:
Header.Payload.Signature
下面是 JWT 字符串的示例:
Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaWF0IjoxNjQ0ODI3NzI2LCJleHAiOjE2NDQ4Mjc3NTZ9.gdZKg9LkPiQZIgNAZ1Mn14GQd9kZZua-_unwHQoRsKE
注意:Bearer 是手動(dòng)添加的頭部信息,必須攜帶此信息才能解析token !
五、token的三個(gè)部分的含義
1. header
每個(gè)JWT都會(huì)帶有頭部信息,這里主要聲明使用的算法。聲明算法的字段名為alg,同時(shí)還有一個(gè)typ的字段,默認(rèn)JWT即可。以下示例中算法為HS256:
{ "alg": "HS256", "typ": "JWT" }
因?yàn)镴WT是字符串,所以我們還需要對(duì)以上內(nèi)容進(jìn)行Base64編碼,編碼后字符串如下:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
2. payload
載荷即消息體,這里會(huì)存放實(shí)際的內(nèi)容,也就是Token的數(shù)據(jù)聲明,例如用戶(hù)的id和name,默認(rèn)情況下也會(huì)攜帶令牌的簽發(fā)時(shí)間iat,通過(guò)還可以設(shè)置過(guò)期時(shí)間,如下:
{ "sub": "1234567890", "name": "CoderBin", "iat": 1516239022 }
同樣進(jìn)行Base64編碼后,字符串如下:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
3. Signature
簽名是對(duì)頭部和載荷內(nèi)容進(jìn)行簽名,一般情況,設(shè)置一個(gè)secretKey,對(duì)前兩個(gè)的結(jié)果進(jìn)行HMACSHA25算法,公式如下:
Signature = HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey)
一旦前面兩部分?jǐn)?shù)據(jù)被篡改,只要服務(wù)器加密用的密鑰沒(méi)有泄露,得到的簽名肯定和之前的簽名不一致
六、JWT使用方式
客戶(hù)端收到服務(wù)器返回的 JWT 之后,通常會(huì)將它儲(chǔ)存在 localStorage 或 sessionStorage 中。
此后,客戶(hù)端每次與服務(wù)器通信,都要帶上這個(gè) JWT 的字符串,從而進(jìn)行身份認(rèn)證。推薦的做法是把 JWT 放在 HTTP 請(qǐng)求頭的 Authorization 字段中,格式如下:
Authorization: Bearer <token>
七、JWT實(shí)現(xiàn)
Token 的使用分成了兩部分:
- 生成token:登錄成功的時(shí)候,頒發(fā)token
- 驗(yàn)證token:訪(fǎng)問(wèn)某些資源或者接口時(shí),驗(yàn)證token
接下來(lái)就在 node+express 環(huán)境下帶大家實(shí)現(xiàn)jwt鑒權(quán),最后有完整代碼加注釋?zhuān)梢灾苯涌醋詈蟮拇a
1. 安裝 JWT 相關(guān)的包
運(yùn)行如下命令,安裝如下兩個(gè) JWT 相關(guān)的包:
npm i jsonwebtoken express-jwt
其中:
jsonwebtoken用于生成 JWT 字符串express-jwt用于驗(yàn)證token,將 JWT 字符串解析還原成 JSON 對(duì)象
2. 導(dǎo)入 JWT 相關(guān)的包
在app.js中
// 導(dǎo)入用于生成 JWT 字符串的包 const jwt = require('jsonwebtoken') // 導(dǎo)入用戶(hù)將客戶(hù)端發(fā)送過(guò)來(lái)的 JWT 字符串,解析還原成 JSON 對(duì)象的包 const expressJWT = require('express-jwt')
3. 定義 secret 密鑰 *
為了保證 JWT 字符串的安全性,防止 JWT 字符串在網(wǎng)絡(luò)傳輸過(guò)程中被別人破解,我們需要專(zhuān)門(mén)定義一個(gè)用于加密和解密的 secret 密鑰:
-
當(dāng)生成 JWT 字符串的時(shí)候,需要使用 secret 密鑰對(duì)用戶(hù)的信息進(jìn)行加密,最終得到加密好的 JWT 字符串
-
當(dāng)把 JWT 字符串解析還原成 JSON 對(duì)象的時(shí)候,需要使用 secret 密鑰進(jìn)行解密
// 這個(gè) secretKey 的是可以是任意的字符串 const secretKey = 'CoderBin ^_^'
4. 在登錄成功后生成 JWT 字符串 *
調(diào)用 jsonwebtoken 包提供的 sign() 方法,將用戶(hù)的信息加密成 JWT 字符串,響應(yīng)給客戶(hù)端:
- 參數(shù) 1:用戶(hù)的信息對(duì)象
- 參數(shù) 2:解密的秘鑰
- 參數(shù) 3:配置對(duì)象,可以配置 token 的有效期
注意:千萬(wàn)不要把密碼加密到 token 字符串中!
// 登錄接口 app.post('/api/login', function (req, res) { // 將 req.body 請(qǐng)求體中的數(shù)據(jù),轉(zhuǎn)存為 userinfo 常量 const userinfo = req.body // 省略登錄失敗情況下的代碼... // 登錄成功 // 在登錄成功之后,調(diào)用 jwt.sign() 方法生成 JWT 字符串。并通過(guò) token 屬性發(fā)送給客戶(hù)端 const tokenStr = jwt.sign( { username: userinfo.username }, secretKey, { expiresIn: '30s' } ) // 向客戶(hù)端響應(yīng)成功的消息 res.send({ status: 200, message: '登錄成功!', token: tokenStr // 要發(fā)送給客戶(hù)端的 token 字符串 }) })
5. 將 JWT 字符串還原為 JSON 對(duì)象 *
客戶(hù)端每次在訪(fǎng)問(wèn)那些有權(quán)限接口的時(shí)候,都需要主動(dòng)通過(guò)請(qǐng)求頭中的 Authorization 字段,將 Token 字符串發(fā)送到服務(wù)器進(jìn)行身份認(rèn)證。
此時(shí),服務(wù)器可以通過(guò) express-jwt 這個(gè)中間件,自動(dòng)將客戶(hù)端發(fā)送過(guò)來(lái)的 Token 解析還原成 JSON 對(duì)象:
express.JWT({ secret: secretKey, algorithms: ['HS256'] })就是用來(lái)解析 Token 的中間件- express-jwt 模塊,現(xiàn)在默認(rèn)為 6版本以上,必須加上:
algorithms: ['HS256']
注意:只要配置成功了 express-jwt 這個(gè)中間件,就會(huì)自動(dòng)把解析出來(lái)的用戶(hù)信息,掛載到 req.user 屬性上
// 1. 使用 app.use() 來(lái)注冊(cè)中間件 app.use(expressJWT({ secret: secretKey, algorithms: ['HS256'] }).unless({ path: [/^/api//] }))
注意:
- secret 必須和 sign 時(shí)候保持一致
- 可以通過(guò) unless 配置接口白名單,也就是哪些 URL 可以不用經(jīng)過(guò)校驗(yàn),像登陸/注冊(cè)都可以不用校驗(yàn)
- 校驗(yàn)的中間件需要放在需要校驗(yàn)的路由前面,無(wú)法對(duì)前面的 URL 進(jìn)行校驗(yàn)
6. 使用 req.user 獲取用戶(hù)信息
當(dāng) express-jwt 這個(gè)中間件配置成功之后,即可在那些有權(quán)限的接口中,使用 req.user 對(duì)象,來(lái)訪(fǎng)問(wèn)從 JWT 字符串中解析出來(lái)的用戶(hù)信息了,示例代碼如下:
// 這是一個(gè)有權(quán)限的 API 接口,必須在 Header 中攜帶 Authorization 字段,值為 token,才允許訪(fǎng)問(wèn) app.get('/admin/getinfo', function (req, res) { // TODO_05:使用 req.user 獲取用戶(hù)信息,并使用 data 屬性將用戶(hù)信息發(fā)送給客戶(hù)端 console.log(req.user); res.send({ status: 200, message: '獲取用戶(hù)信息成功!', data: req.user // 要發(fā)送給客戶(hù)端的用戶(hù)信息 }) })
7. 捕獲解析 JWT 失敗后產(chǎn)生的錯(cuò)誤
當(dāng)使用 express-jwt 解析 Token 字符串時(shí),如果客戶(hù)端發(fā)送過(guò)來(lái)的 Token 字符串過(guò)期或不合法,會(huì)產(chǎn)生一個(gè)解析失敗的錯(cuò)誤,影響項(xiàng)目的正常運(yùn)行。我們可以通過(guò) Express 的錯(cuò)誤中間件,捕獲這個(gè)錯(cuò)誤并進(jìn)行相關(guān)的處理,示例代碼如下:
app.use((err, req, res, next) => { // 這次錯(cuò)誤是由 token 解析失敗導(dǎo)致的 if (err.name === 'UnauthorizedError') { return res.send({ status: 401, message: '無(wú)效的token' }) } res.send({ status: 500, message: '未知的錯(cuò)誤' }) })
8. 完整代碼
app.js
// 導(dǎo)入 express 模塊 const express = require('express') // 創(chuàng)建 express 的服務(wù)器實(shí)例 const app = express() // TODO_01:安裝并導(dǎo)入 JWT 相關(guān)的兩個(gè)包,分別是 jsonwebtoken 和 express-jwt const jwt = require('jsonwebtoken') const expressJWT = require('express-jwt') // 允許跨域資源共享 const cors = require('cors') app.use(cors()) // 解析 post 表單數(shù)據(jù)的中間件 const bodyParser = require('body-parser') // 這里用內(nèi)置的中間件也行: app.use(express.urlencoded({ extended: false })) app.use(bodyParser.urlencoded({ extended: false })) // TODO_02:定義 secret 密鑰,建議將密鑰命名為 secretKey // 這個(gè) secretKey 的是可以是任意的字符串 const secretKey = 'smiling ^_^' // TODO_04:注冊(cè)將 JWT 字符串解析還原成 JSON 對(duì)象的中間件 // 1. 使用 app.use() 來(lái)注冊(cè)中間件 // 2. express.JWT({ secret: secretKey, algorithms: ['HS256'] }) 就是用來(lái)解析 Token 的中間件 // 2.1 express-jwt 模塊,現(xiàn)在默認(rèn)為 6版本以上,必須加上: algorithms: ['HS256'] // 3. .unless({ path: [/^/api//] }) 用來(lái)指定哪些接口不需要訪(fǎng)問(wèn)權(quán)限 // 4. 注意:只要配置成功了 express-jwt 這個(gè)中間件,就會(huì)自動(dòng)把解析出來(lái)的用戶(hù)信息,掛載到 req.user 屬性上 app.use(expressJWT({ secret: secretKey, algorithms: ['HS256'] }).unless({ path: [/^/api//] })) // 登錄接口 app.post('/api/login', function (req, res) { // 將 req.body 請(qǐng)求體中的數(shù)據(jù),轉(zhuǎn)存為 userinfo 常量 const userinfo = req.body // 登錄失敗 if (userinfo.username !== 'admin' || userinfo.password !== '000000') { return res.send({ status: 400, message: '登錄失敗!' }) } // 登錄成功 // TODO_03:在登錄成功之后,調(diào)用 jwt.sign() 方法生成 JWT 字符串。并通過(guò) token 屬性發(fā)送給客戶(hù)端 // 參數(shù) 1:用戶(hù)的信息對(duì)象 // 參數(shù) 2:解密的秘鑰 // 參數(shù) 3:配置對(duì)象,可以配置 token 的有效期 // 記住:千萬(wàn)不要把密碼加密到 token 字符串中! const tokenStr = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '30s' }) res.send({ status: 200, message: '登錄成功!', token: tokenStr // 要發(fā)送給客戶(hù)端的 token 字符串 }) }) // 這是一個(gè)有權(quán)限的 API 接口,必須在 Header 中攜帶 Authorization 字段,值為 token,才允許訪(fǎng)問(wèn) app.get('/admin/getinfo', function (req, res) { // TODO_05:使用 req.user 獲取用戶(hù)信息,并使用 data 屬性將用戶(hù)信息發(fā)送給客戶(hù)端 console.log(req.user); res.send({ status: 200, message: '獲取用戶(hù)信息成功!', data: req.user // 要發(fā)送給客戶(hù)端的用戶(hù)信息 }) }) // TODO_06:使用全局錯(cuò)誤處理中間件,捕獲解析 JWT 失敗后產(chǎn)生的錯(cuò)誤 app.use((err, req, res, next) => { // 這次錯(cuò)誤是由 token 解析失敗導(dǎo)致的 if (err.name === 'UnauthorizedError') { return res.send({ status: 401, message: '無(wú)效的token' }) } res.send({ status: 500, message: '未知的錯(cuò)誤' }) }) // 調(diào)用 app.listen 方法,指定端口號(hào)并啟動(dòng)web服務(wù)器 app.listen(8888, function () { console.log('Express server running at http://127.0.0.1:8888') })
八. 測(cè)試結(jié)果
1 測(cè)試登錄接口
借助 postman 工具測(cè)試接口
2. 測(cè)試登錄需要權(quán)限的接口-失敗
3. 測(cè)試登錄需要權(quán)限的接口-成功
九、最后總結(jié)
JWT鑒權(quán)機(jī)制有許多優(yōu)點(diǎn):
- json具有通用性,所以可以跨語(yǔ)言
- 組成簡(jiǎn)單,字節(jié)占用小,便于傳輸
- 服務(wù)端無(wú)需保存會(huì)話(huà)信息,很容易進(jìn)行水平擴(kuò)展
- 一處生成,多處使用,可以在分布式系統(tǒng)中,解決單點(diǎn)登錄問(wèn)題
- 可防護(hù)CSRF攻擊
當(dāng)然,不可避免的也有一些缺點(diǎn):
- payload部分僅僅是進(jìn)行簡(jiǎn)單編碼,所以只能用于存儲(chǔ)邏輯必需的非敏感信息
- 需要保護(hù)好加密密鑰,一旦泄露后果不堪設(shè)想
- 為避免token被劫持,最好使用https協(xié)議
本次的淺析JWT鑒權(quán)機(jī)制就講到這里,希望對(duì)大家有所幫助,謝謝!
