随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。
而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3yT7MhFL-1649293375396)(media/16481748421276/16481748624356.jpg)]
实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。
但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据
这些设备与中心服务器之间会进行http通信
一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发送消息到中心服务器,然后中心服务器响应一个身份令牌
当这种结构出现后,就出现一个问题:它们之间还能使用传统的cookie方式传递令牌信息吗?
其实,也是可以的,因为cookie在传输中无非是一个消息头而已,只不过浏览器对这个消息头有特殊处理罢了。
但浏览器之外的设备肯定不喜欢cookie,因为浏览器有着对cookie完善的管理机制,但是在其他设备上,就需要开发者自己手动处理了
jwt的出现就是为了解决这个问题
jwt全称Json Web Token
,强行翻译过来就是json格式的互联网令牌
它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格式
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8NfqFv46-1649293375398)(media/16481748421276/16481749149910.jpg)]
因此,jwt只是一个令牌格式而已,你可以把它存储到cookie,也可以存储到localstorage,没有任何限制!
同样的,对于传输,你可以使用任何传输方式来传输jwt,一般来说,我们会使用消息头来传输它
比如,当登录成功后,服务器可以给客户端响应一个jwt:
HTTP/1.1 200 OK
...
set-cookie:token=jwt令牌
authorization:jwt令牌
...
{..., token:jwt令牌}
可以看到,jwt令牌可以出现在响应的任何一个地方,客户端和服务器自行约定即可。
当然,它也可以出现在响应的多个地方,比如为了充分利用浏览器的cookie,同时为了照顾其他设备,也可以让jwt出现在
set-cookie
和authorization或body
中,尽管这会增加额外的传输量。
当客户端拿到令牌后,它要做的只有一件事:存储它。
你可以存储到任何位置,比如手机文件、PC文件、localstorage、cookie
当后续请求发生时,你只需要将它作为请求的一部分发送到服务器即可。
虽然jwt没有明确要求应该如何附带到请求中,但通常我们会使用如下的格式:
GET /api/resources HTTP/1.1
...
authorization: bearer jwt令牌
...
这种格式是OAuth2附带token的一种规范格式
至于什么是OAuth2,那是另一个话题了
这样一来,服务器就能够收到这个令牌了,通过对令牌的验证,即可知道该令牌是否有效。
它们的完整交互流程是非常简单清晰的
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6HIfY4L1-1649293375399)(media/16481748421276/16481749923201.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OUsHZR9a-1649293375400)(media/16481748421276/16481775415325.jpg)]
jwt网站,里面提供了header,payload与生存jwt的互相转换
为了保证令牌的安全性,jwt令牌由三个部分组成,分别是:
它们组合而成的完整格式是:header.payload.signature
比如,一个完整的jwt令牌如下:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9.BCwUy3jnUQ_E6TqCayc7rCHkx-vxxdagUwPOWqwYCFc
它各个部分的值分别是:
header:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
payload:eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9
signature: BCwUy3jnUQ_E6TqCayc7rCHkx-vxxdagUwPOWqwYCFc
下面分别对每个部分进行说明
它是令牌头部,记录了整个令牌的类型和签名算法
它的格式是一个json
对象,如下:
{
"alg":"HS256",
"typ":"JWT"
}
该对象记录了:
JWT
即可设置好了header
之后,就可以生成header
部分了
具体的生成方式及其简单,就是把header
部分使用base64 url
编码即可
base64 url
不是一个加密算法,而是一种编码方式,它是在base64
算法的基础上对+
、=
、/
三个字符做出特殊处理的算法而
base64
是使用64个可打印字符来表示一个二进制数据,具体的做法参考百度百科
浏览器提供了btoa
函数,可以完成这个操作:
window.btoa(JSON.stringify({
"alg":"HS256",
"typ":"JWT"
}))
// 得到字符串:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
同样的,浏览器也提供了atob
函数,可以对其进行解码:
window.atob("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9")
// 得到字符串:{"alg":"HS256","typ":"JWT"}
nodejs中没有提供这两个函数,可以安装第三方库
atob
和bota
搞定。或者,手动搞定
这部分是jwt的主体信息,它仍然是一个JSON对象,它可以包含以下内容:
{
"ss":"发行者",
"iat":"发布时间",
"exp":"到期时间",
"sub":"主题",
"aud":"听众",
"nbf":"在此之前不可用",
"jti":"JWT ID"
}
以上属性可以全写,也可以一个都不写,它只是一个规范。就算写了,也需要你在将来验证这个jwt令牌时手动处理才能发挥作用
上述属性表达的含义分别是:
可是到现在,看了半天,没有出现我想要写入的数据啊
当用户登陆成功之后,我可能需要把用户的一些信息写入到jwt令牌中,比如用户id、账号等等(密码就算了)
其实很简单,payload这一部分只是一个json对象而已,你可以向对象中加入任何想要加入的信息
比如,下面的json对象仍然是一个有效的payload
{
"foo":"bar",
"iat":1587548215
}
foo: bar
是我们自定义的信息,iat: 1587548215
是jwt规范中的信息
最终,payload部分和header一样,需要通过base64 url
编码得到:
window.btoa(JSON.stringify({
"foo":"bar",
"iat":1587548215
}))
// 得到字符串:eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9
这一部分是jwt的签名,正是它的存在,保证了整个jwt不被篡改
这部分的生成,是对前面两个部分的编码结果,按照头部指定的方式进行加密
比如:头部指定的加密方法是HS256
,前面两部分的编码结果是eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9
则第三部分就是用对称加密算法HS256
对字符串eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9
进行加密,当然你得指定一个秘钥,比如shhhhh
HS256(`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9`, "shhhhh")
// 得到:BCwUy3jnUQ_E6TqCayc7rCHkx-vxxdagUwPOWqwYCFc
最终,将三部分组合在一起,就得到了完整的jwt
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9.BCwUy3jnUQ_E6TqCayc7rCHkx-vxxdagUwPOWqwYCFc
由于签名使用的秘钥保存在服务器,这样一来,客户端就无法伪造出签名,因为它拿不到秘钥。
换句话说,之所以说无法伪造jwt,就是因为第三部分的存在。
而前面两部分并没有加密,只是一个编码结果而已,可以认为几乎是明文传输
这不会造成太大的问题,因为既然用户登陆成功了,它当然有权力查看自己的用户信息
甚至在某些网站,用户的基本信息可以被任何人查看
你要保证的,是不要把敏感的信息存放到jwt中,比如密码
jwt的signature
可以保证令牌不被伪造,那如何保证令牌不被篡改呢?
比如,某个用户登陆成功了,获得了jwt,但他人为的篡改了payload
,比如把自己的账户余额修改为原来的两倍,然后重新编码出payload
发送到服务器,服务器如何得知这些信息被篡改过了呢?
这就要说到令牌的验证了
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ba4Qlc7N-1649293375401)(media/16481748421276/16481749923201.jpg)]
令牌在服务器组装完成后,会以任意的方式发送到客户端
客户端会把令牌保存起来,后续的请求会将令牌发送给服务器
而服务器需要验证令牌是否正确,如何验证呢?
首先,服务器要验证这个令牌是否被篡改过,验证方式非常简单,就是对header+payload
用同样的秘钥和加密算法进行重新加密
然后把加密的结果和传入jwt的signature
进行对比,如果完全相同,则表示前面两部分没有动过,就是自己颁发的,如果不同,肯定是被篡改过了。
传入的header.传入的payload.传入的signature
新的signature = header中的加密算法(传入的header.传入的payload, 秘钥)
验证:新的signature == 传入的signature
当令牌验证为没有被篡改后,服务器可以进行其他验证:比如是否过期、听众是否满足要求等等,这些就视情况而定了
注意:这些验证都需要服务器手动完成,没有哪个服务器会给你进行自动验证,当然,你可以借助第三方库来完成这些操作
其实上面叽叽歪歪那么多,如果不想看,总结一下就三点:
nodejs实现的JWT,我们需要借助第三方插件jsonwebtoken
安装
npm i jsonwebtoken
使用
主要方法:
生成JWT
jwt.sign(payload, secretOrPrivateKey, [options, callback])
payload
参数必须是一个object、Buffer、或 string.
注意:exp(过期时间) 只有当payload是object字面量时才可以设置。如果payload不是buffer或string,它会被强制转换为使用的字符串JSON.stringify()。
secretOrPrivateKey
参数 是包含HMAC算法的密钥或RSA和ECDSA的PEM编码私钥的string或buffer。
options
参数有如下值:
algorithm
:加密算法(默认值:HS256)expiresIn
:以秒表示或描述时间跨度zeit / ms的字符串。如60,“2 days”,“10h”,“7d”,含义是:过期时间notBefore
:以秒表示或描述时间跨度zeit / ms的字符串。如:60,“2days”,“10h”,“7d”audience
:Audience,观众issuer
:Issuer,发行者jwtid
:JWT IDsubject
:Subject,主题验证JWT
jwt.verify(token, secretOrPrivateKey, [options, callback])
示例
const jwt = require("jsonwebtoken");
const secret = "yingside";
function createJWT(payload = {},maxAge = 60 * 60 * 24,){
let token = jwt.sign(payload,secret,{
expiresIn:maxAge
});
return token;
}
function verifyToken(token){
const result = jwt.verify(token,secret);
return result;
}
//生成JWT
let token = createJWT({
name:"张三",
id:20
},"2 days");
console.log(token);
//验证JWT
let result = verifyToken(token);
console.log(result);
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kmjIGDH4-1649293375402)(media/16481748421276/16481995010523.jpg)]
① 用户登录时,将用户名和密码通过 POST 提交到服务端
② 服务端接收到登录数据之后,与数据库中的用户信息进行校验
③ 校验通过
④ 服务端通过用户 _id,secret 等等相关数据生成 JWT 字符串
⑤ 将 JWT 字符串和其他信息一起返回给浏览器,浏览器拿到 jwt 字符串后,缓存到本地,等待下一次请求
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OSonZpwJ-1649293375403)(media/16481748421276/16481996172401.jpg)]
① 用户登录之后的每次请求,都会将 token 携带在请求头的 Authorization 中
② 对 token 验证成功之后,我们可以拿到保存在 token 中的用户数据
③ 进入业务处理
前端用户登录时页面 login.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form action="/api/user/login" method="post">
<input type="text" name="loginId" id="loginId"> <br>
<input type="password" name="loginPwd" id="loginPwd"> <br>
<input type="button" value="登录" id="btn">
</form>
<br>
<button id="btnQuery">点击访问后台数据</button>
</body>
<script src="js/axios.js"></script>
<script src="js/jquery.min.js"></script>
<script src="js/login.js"></script>
</body>
</html>
服务器需要生成和验证jwt的工具,编写jwt.js
代码
const jwt = require("jsonwebtoken");
const secret = "yingside";
function createJWT(payload = {},maxAge = 60 * 60 * 24,){
let token = jwt.sign(payload,secret,{
expiresIn:maxAge
});
return token;
}
function verifyToken(token){
const result = jwt.verify(token,secret);
return result;
}
let token = createJWT({
name:"张三",
id:20
},"2 days");
console.log(token);
let result = verifyToken(token);
console.log(result);
//发布jwt
module.exports.publish = (res,payload = {},maxAge = 60 * 60 * 24,) => {
let token = createJWT(payload,maxAge);
res.header('authorization',token);
return token;
}
//验证jwt
module.exports.verify = (req)=>{
let token = req.headers.authorization;
console.log(req.headers.authorization);
if(!token){
return null;
}
//格式:authorization bearer token
token = token.split(" ");
token = token.length === 1 ? token[0] : token[1];
try{
let result = verifyToken(token);
console.log("----->" + result);
return result;
}catch(err){
return null;
}
}
当用户登录时,在后端路由生成jwt的token
router.post("/login",async(req,res)=>{
console.log("=======> login");
let result = await UserService.login(req.body.loginId,req.body.loginPwd);
let token;
if (result) {
let value = result.id;
//登录成功
token = jwt.publish(res, { id: value });
console.log("----->" + token);
}
res.json(token);
})
前端登录发送ajax请求,成功后获取后端传送过来的token,并保存在headers的authorization
属性中
login.js
$("#btn").on("click",function(){
$.ajax({
url:"/api/user/login",
method:"post",
data:{"loginId":$("#loginId").val(),"loginPwd":$("#loginPwd").val()},
success:function(data,txt,xhr){
localStorage.setItem("token", xhr.getResponseHeader("authorization"));
}
});
})
自此,前端浏览器 在headers的authorization
中保存了jwt
字符串,以后每次请求后端服务器的时候,都会从header中带着这个jwt
字符串,后端路由验证jwt是否存在并正确,以此给每次请求授权
tokenMiddleware.js
const pathToRegexp = require("path-to-regexp");
const jwt = require("./jwt");
// 设置需要token验证的URI
let needToToken = [
{ method: "POST", path: "/api/user" },
{ method: "GET", path: "/api/user/:id" },
];
//由于/api/user/:id真正对应的是/api/user/123这样的URI路径
//因此,为了匹配是否URI路径对应,使用path-to-regexp模块
module.exports = function(req, res, next){
//过滤出当前URI模块是否需要token认证
const apis = needToToken.filter((api) => {
let reg = pathToRegexp(api.path);
return api.method === req.method && reg.test(req.path);
});
//如果没有,不要认证,直接放行
if (apis.length == 0) {
next();
return;
}
//验证jwt是否正确
const result = jwt.verify(req);
if (result) {
//认证通过
req.loginId = result.id;
next();
}
else{
//注意这里需要错误处理中间件
throw new Error("权限认证未通过");
}
};
错误处理中间件(注意要放在最后)
// catch 404 and forward to error handler
app.use(function(req, res, next) {
next(createError(404,"你访问的页面不存在"));
});
// 错误处理中间件,有Error时触发该中间件
app.use(function(err, req, res, next) {
// set locals, only providing error in development
res.locals.message = err.message;
res.locals.error = req.app.get('env') === 'development' ? err : {};
// render the error page
//res.status(err.status || 500);
//res.render("error");
res.json(err.message);
});
客户端模拟访问需要权限控制的页面
//每次jquery访问之前,读取localstorage中保存的jwt字符串,并设置到header中
//这样每次请求都会带上这个头信息
$.ajaxSetup({
beforeSend: function(xhr) {
const token = window.localStorage.getItem('token');
xhr.setRequestHeader('Authorization', `Bearer ${token}`);
}
});
//模拟访问需要权限控制的页面
$("#btnQuery").on("click",function(){
$.ajax({
url:"/api/user/11",
method:"get",
success:function(data,txt,xhr){
console.log(data);
}
});
})