jwt判斷token是否過期_NodeJS 實作 JWT 原理

作者：騰訊IMWeb團隊。https://juejin.im/post/6873700061000237069

使用NodeJS實作JWT原理

jwt是json web token的簡稱，本文介紹它的原理，最後後端用nodejs自己實作如何為用戶端生成令牌token和校驗token

1.為什麼需要會話管理

我們用nodejs為前端或者其他服務提供resful接口時，http協定他是一個無狀态的協定，有時候我們需要根據這個請求的上下擷取具體的使用者是否有權限，針對使用者的上下文進行操作。是以出現了cookies session還有jwt這幾種技術的出現， 都是對HTTP協定的一個補充。使得我們可以用HTTP協定+狀态管理建構一個的面向使用者的WEB應用。

2.session和cookies

session和cookies是有聯系的，session就是服務端在用戶端cookies種下的session_id, 服務端儲存session_id所對應的目前使用者所有的狀态資訊。每次用戶端請求服務端都帶上cookies中的session_id, 服務端判斷是否有具體的使用者資訊，如果沒有就去調整登入。

• cookies安全性不好，攻擊者可以通過擷取本地cookies進行欺騙或者利用cookies進行CSRF攻擊。
• cookies在多個域名下，會存在跨域問題
• session的資訊是儲存在服務端上面的，當我們node.js在stke部署多台機器的時候，需要解決共享session，是以引出來session持久化問題，是以session不支援分布式架構，無法支援橫向擴充，隻能通過資料庫來儲存會話資料實作共享。如果持久層失敗會出現認證失敗。

3.jwt的定義

jwt是json web token的全稱，他解決了session以上的問題，優點是伺服器不儲存任何會話資料，即伺服器變為無狀态，使其更容易擴充，什麼情況下使用jwt比較合适，我覺得就是授權這個場景，因為jwt使用起來輕便，開銷小，後端無狀态，是以使用比較廣泛。

4.jwt的原理

JWT 的原理是，伺服器認證以後，生成一個 JSON 對象，發回給使用者，就像下面這樣。

以後，使用者與服務端通信的時候，都要發回這個 JSON 對象。伺服器完全隻靠這個對象認定使用者身份。為了防止使用者篡改資料，伺服器在生成這個對象的時候，會加上簽名。

5.jwt的認證流程

流程說明：

1. 浏覽器發起請求登陸，攜帶使用者名和密碼；
2. 服務端根據使用者名和明碼到資料庫驗證身份，根據算法，将使用者辨別符打包生成 token,
3. 伺服器傳回JWT資訊給浏覽器，JWT不應該包含敏感資訊，這是很重要的一點
4. 浏覽器發起請求擷取使用者資料，把剛剛拿到的 token一起發送給伺服器，一般放在header裡面，字段為authorization
5. 伺服器發現資料中有 token，decode token的資訊，然後再次簽名，驗明正身；
6. 伺服器傳回該使用者的使用者資料；
7. 伺服器可以在payload設定過期時間， 如果過期了，可以讓用戶端重新發起驗證。

6.jwt的資料結構

jwt包含了使用.風格的三個部分

Header頭部

"alg": 
           

這是固定的寫法，alg表面要用的是HS256算法

Payload 負載、載荷，JWT 規定了7個官方字段

除了這七個，可以自定義，比如過期時間

Signature 簽名

對前兩部分header和payload進行簽名，防止資料篡改

secret是一段字元串，後端儲存，需要注意的是JWT 作為一個令牌(token)，有些場合可能會放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個字元+、/和=，在 URL 裡面有特殊含義，是以要被替換掉：=被省略、+替換成-，/替換成_ 。這就是 Base64URL 算法。

7.jwt使用方式

HTTP 請求的頭資訊Authorization字段裡面, Bearer也是規定好的

    Authorization: Bearer 
           

通過url傳輸(不推薦)

如果是post請求也可以放在請求體中

8.在koa項目中使用

可以使用現成庫，jwt-simple 或者 jsonwebtoken

let Koa = require(
           

1. 實作兩個接口 一個是/login 驗證是否登入，一個是 validate,驗證是否有權限
2. 請求login接口的時候，用戶端帶username和password, 後端一般會查資料庫，驗證是否存在目前使用者，如果存在則為username進行簽名，千萬不要給password這些敏感資訊也帶進來簽名
3. 用戶端接收後端給的token令牌，再請求其他接口，比如這個例子的/validate的時候，ajax請求的時候，可以在header指定authorization字段，後端拿到token進行decode，然後将header和payload進行再一次的簽名，如果前後的簽名一緻，說明沒有被篡改過，則權限驗證通過。因為是同步的過程，是以可以用try catch來捕捉錯誤

9.原理的實作

1. sha256雜湊演算法，可以用nodejs的内置加密子產品crypto, 生成base64字元串，要注意的是生成base64需要為+ - = 做一下替換，=被省略、+替換成-，/替換成_ 。這就是 Base64URL 算法。
2. token令牌的組成是header, payload和sigin的通過.來組成
3. base64urlUnescape的解碼是固定寫法，decode出base64的内容

10.jwt的優缺點

1. JWT 預設不加密，但可以加密。生成原始令牌後，可以使用改令牌再次對其進行加密。
2. 當 JWT 未加密方法是，一些私密資料無法通過 JWT 傳輸。
3. JWT 不僅可用于認證，還可用于資訊交換。善用 JWT 有助于減少伺服器請求資料庫的次數。
4. JWT 的最大缺點是伺服器不儲存會話狀态，是以在使用期間不可能取消令牌或更改令牌的權限。也就是說，一旦 JWT 簽發，在有效期内将會一直有效。
5. JWT 本身包含認證資訊，是以一旦資訊洩露，任何人都可以獲得令牌的所有權限。為了減少盜用，JWT 的有效期不宜設定太長。對于某些重要操作，使用者在使用時應該每次都進行進行身份驗證。
6. 為了減少盜用和竊取，JWT 不建議使用 HTTP 協定來傳輸代碼，而是使用加密的 HTTPS 協定進行傳輸。