作者:mariozheng 來源:前端開發社群
JWT是json web token的簡稱,本文介紹它的原理,最後後端用nodejs自己實作如何為用戶端生成令牌token和校驗token
一 .為什麼需要會話管理
我們用 nodejs 為前端或者其他服務提供 resful 接口時,http 協定他是一個無狀态的協定,有時候我們需要根據這個請求的上下擷取具體的使用者是否有權限,針對使用者的上下文進行操作。是以出現了cookies session還有jwt這幾種技術的出現, 都是對HTTP協定的一個補充。使得我們可以用HTTP協定+狀态管理建構一個的面向使用者的WEB應用。
二 .Session 和 cookie
session 和 cookies 是有聯系的,session 就是服務端在用戶端 cookies 種下的session_id, 服務端儲存session_id所對應的目前使用者所有的狀态資訊。每次用戶端請求服務端都帶上cookies中的session_id, 服務端判斷是否有具體的使用者資訊,如果沒有就去調整登入。
cookies安全性不好,攻擊者可以通過擷取本地cookies進行欺騙或者利用cookies進行CSRF攻擊。
cookies在多個域名下,會存在跨域問題
session的資訊是儲存在服務端上面的,當我們node.js在stke部署多台機器的時候,需要解決共享session,是以引出來session持久化問題,是以session不支援分布式架構,無法支援橫向擴充,隻能通過資料庫來儲存會話資料實作共享。如果持久層失敗會出現認證失敗。
三 .JWT的定義
jwt是json web token的全稱,他解決了session以上的問題,優點是伺服器不儲存任何會話資料,即伺服器變為無狀态,使其更容易擴充,什麼情況下使用jwt比較合适,我覺得就是授權這個場景,因為jwt使用起來輕便,開銷小,後端無狀态,是以使用比較廣泛。
四 .JWT的原理
JWT 的原理是,伺服器認證以後,生成一個 JSON 對象,發回給使用者,就像下面這樣。
{ "姓名": "張三", "角色": "管理者", "到期時間": "2018年7月1日0點0分" }
以後,使用者與服務端通信的時候,都要發回這個 JSON 對象。伺服器完全隻靠這個對象認定使用者身份。為了防止使用者篡改資料,伺服器在生成這個對象的時候,會加上簽名。
五 .JWT的認證流程
JWT的流程說明:
- 浏覽器發起請求登陸,攜帶使用者名和密碼;
- 服務端根據使用者名和明碼到資料庫驗證身份,根據算法,将使用者辨別符打包生成 token,
- 伺服器傳回JWT資訊給浏覽器,JWT不應該包含敏感資訊,這是很重要的一點
- 浏覽器發起請求擷取使用者資料,把剛剛拿到的 token一起發送給伺服器,一般放在header裡面,字段為authorization
- 伺服器發現資料中有 token,decode token的資訊,然後再次簽名,驗明正身;
- 伺服器傳回該使用者的使用者資料;
- 伺服器可以在payload設定過期時間, 如果過期了,可以讓用戶端重新發起驗證。
六 .JWT的資料結構
JWT 包含了使用.風格的三個部分,包含header(頭部)、Payload(荷載)以及 Signature(簽名)
Header 頭部
{"alg": "HS256","typ": "JWT"} // algorithm => HMAC SHA256// type => JWT
這是固定的寫法,alg表面要用的是HS256算法
Payload 負載、載荷
JWT 規定了7個官方字段
iss (issuer):簽發人 exp (expiration time):過期時間 sub (subject):主題 aud (audience):閱聽人 nbf (Not Before):生效時間 iat (Issued At):簽發時間 jti (JWT ID):編号
除了這七個,可以自定義,比如過期時間
Signature 簽名
對前兩部分header和payload進行簽名,防止資料篡改
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
secret是一段字元串,後端儲存,需要注意的是 JWT 作為一個令牌 token,有些場合可能會放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個字元+、/和=,在 URL 裡面有特殊含義,是以要被替換掉:=被省略、+替換成-,/替換成_ 。這就是 Base64URL 算法。
七 .jwt使用方式
HTTP 請求的頭資訊Authorization字段裡面, Bearer也是規定好的
Authorization: Bearer
通過url傳輸(不推薦)
http://www.xxx.com/pwa?token=xxxxx
如果是post請求也可以放在請求體中
八 .在koa項目中使用
可以使用現成庫,jwt-simple 或者 jsonwebtoken
let Koa = require('koa'); let Router = require('koa-router'); let bodyparser = require('koa-bodyparser'); let jwt = require('jwt-simple'); let router = new Router() let app = new Koa(); app.use(bodyparser()); // 可以自己自定義 let secret = 'zhenglei'; // 驗證是否登陸 router.post('/login',async(ctx)=>{ let {username,password} = ctx.request.body; if(username === 'admin' && password === 'admin'){ // 通常會查資料庫,這裡簡單的示範 let token = jwt.encode(username, secret); ctx.body = { code:200, username, token, } } }); // 驗證是否有權限 router.get('/validate',async(ctx)=>{ let Authorization = ctx.get('authorization') let [,token] = Authorization.split(' '); if(token){ try{ let r = jwt.decode(token,secret); ctx.body = { code:200, username:r, token } }catch(e){ ctx.body = { code:401, data:'沒有登陸' } } }else{ ctx.body = { code:401, data:'沒有登陸' } } }); app.use(router.routes()); app.listen(4000);
- 實作兩個接口 一個是/login 驗證是否登入,一個是 validate,驗證是否有權限
- 請求login接口的時候,用戶端帶username和password, 後端一般會查資料庫,驗證是否存在目前使用者,如果存在則為username進行簽名,千萬不要給password這些敏感資訊也帶進來簽名
- 用戶端接收後端給的token令牌,再請求其他接口,比如這個例子的/validate的時候,ajax請求的時候,可以在header指定authorization字段,後端拿到token進行decode,然後将header和payload進行再一次的簽名,如果前後的簽名一緻,說明沒有被篡改過,則權限驗證通過。因為是同步的過程,是以可以用try catch來捕捉錯誤
九 .原理的實作
- sha256雜湊演算法,可以用nodejs的内置加密子產品crypto, 生成base64字元串,要注意的是生成base64需要為+ - = 做一下替換,=被省略、+替換成-,/替換成_ 。這就是 Base64URL 算法。
- token令牌的組成是header, payload和sigin的通過.來組成
- base64urlUnescape 的解碼是固定寫法,decode出base64的内容
let myJwt = { sign(content,secret){ let r = crypto.createHmac('sha256',secret).update(content).digest('base64'); return this.base64urlEscape(r) }, base64urlEscape(str){ return str.replace(/+/g, '-').replace(///g, '_').replace(/=/g, ''); }, toBase64(content){ return this.base64urlEscape(Buffer.from(JSON.stringify(content)).toString('base64')) }, encode(username,secret){ let header = this.toBase64({ typ: 'JWT', alg: 'HS256' }); let content = this.toBase64(username); let sign = this.sign([header,content].join('.'),secret); return [header,content,sign].join('.') }, base64urlUnescape(str) { str += new Array(5 - str.length % 4).join('='); return str.replace(/-/g, '+').replace(/_/g, '/'); }, decode(token,secret){ let [header,content,sign] = token.split('.'); let newSign = this.sign([header,content].join('.'),secret); if(sign === newSign){ return Buffer.from(this.base64urlUnescape(content),'base64').toString(); }else{ throw new Error('被篡改') } } }
十 .JWT的優缺點
- JWT預設不加密,但可以加密。生成原始令牌後,可以使用該令牌再次對其進行加密。
- 當JWT未加密方法時,一些私密資料無法通過JWT傳輸。
- JWT不僅可用于認證,還可用于資訊交換。善用JWT有助于減少伺服器請求資料庫的次數。
- JWT的最大缺點是伺服器不儲存會話狀态,是以在使用期間不可能取消令牌或更改令牌的權限。也就是說,一旦JWT簽發,在有效期内将會一直有效
- JWT本身包含認證資訊,是以一旦資訊洩露,任何人都可以獲得令牌的所有權限。為了減少盜用,JWT的有效期不宜設定太長。對于某些重要操作,使用者在使用時應該每次都進行進行身份驗證。
- 為了減少盜用和竊取,JWT不建議使用HTTP協定來傳輸代碼,而是使用加密的HTTPS協定進行傳輸。