作者:騰訊IMWeb團隊。https://juejin.im/post/6873700061000237069
使用NodeJS實作JWT原理
jwt是json web token的簡稱,本文介紹它的原理,最後後端用nodejs自己實作如何為用戶端生成令牌token和校驗token
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5CZ3EzMmVWOjRmM0YjYiZGN5QmZzATOlVWMkJzN0MDNl9CX0JXZ252bj91Ztl2Lc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
1.為什麼需要會話管理
我們用nodejs為前端或者其他服務提供resful接口時,http協定他是一個無狀态的協定,有時候我們需要根據這個請求的上下擷取具體的使用者是否有權限,針對使用者的上下文進行操作。是以出現了cookies session還有jwt這幾種技術的出現, 都是對HTTP協定的一個補充。使得我們可以用HTTP協定+狀态管理建構一個的面向使用者的WEB應用。
2.session和cookies
session和cookies是有聯系的,session就是服務端在用戶端cookies種下的session_id, 服務端儲存session_id所對應的目前使用者所有的狀态資訊。每次用戶端請求服務端都帶上cookies中的session_id, 服務端判斷是否有具體的使用者資訊,如果沒有就去調整登入。
- cookies安全性不好,攻擊者可以通過擷取本地cookies進行欺騙或者利用cookies進行CSRF攻擊。
- cookies在多個域名下,會存在跨域問題
- session的資訊是儲存在服務端上面的,當我們node.js在stke部署多台機器的時候,需要解決共享session,是以引出來session持久化問題,是以session不支援分布式架構,無法支援橫向擴充,隻能通過資料庫來儲存會話資料實作共享。如果持久層失敗會出現認證失敗。
3.jwt的定義
jwt是json web token的全稱,他解決了session以上的問題,優點是伺服器不儲存任何會話資料,即伺服器變為無狀态,使其更容易擴充,什麼情況下使用jwt比較合适,我覺得就是授權這個場景,因為jwt使用起來輕便,開銷小,後端無狀态,是以使用比較廣泛。
4.jwt的原理
JWT 的原理是,伺服器認證以後,生成一個 JSON 對象,發回給使用者,就像下面這樣。
以後,使用者與服務端通信的時候,都要發回這個 JSON 對象。伺服器完全隻靠這個對象認定使用者身份。為了防止使用者篡改資料,伺服器在生成這個對象的時候,會加上簽名。
5.jwt的認證流程
流程說明:
- 浏覽器發起請求登陸,攜帶使用者名和密碼;
- 服務端根據使用者名和明碼到資料庫驗證身份,根據算法,将使用者辨別符打包生成 token,
- 伺服器傳回JWT資訊給浏覽器,JWT不應該包含敏感資訊,這是很重要的一點
- 浏覽器發起請求擷取使用者資料,把剛剛拿到的 token一起發送給伺服器,一般放在header裡面,字段為authorization
- 伺服器發現資料中有 token,decode token的資訊,然後再次簽名,驗明正身;
- 伺服器傳回該使用者的使用者資料;
- 伺服器可以在payload設定過期時間, 如果過期了,可以讓用戶端重新發起驗證。
6.jwt的資料結構
jwt包含了使用.風格的三個部分
Header頭部
"alg":
這是固定的寫法,alg表面要用的是HS256算法
Payload 負載、載荷,JWT 規定了7個官方字段
除了這七個,可以自定義,比如過期時間
Signature 簽名
對前兩部分header和payload進行簽名,防止資料篡改
secret是一段字元串,後端儲存,需要注意的是JWT 作為一個令牌(token),有些場合可能會放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個字元+、/和=,在 URL 裡面有特殊含義,是以要被替換掉:=被省略、+替換成-,/替換成_ 。這就是 Base64URL 算法。
7.jwt使用方式
HTTP 請求的頭資訊Authorization字段裡面, Bearer也是規定好的
Authorization: Bearer
通過url傳輸(不推薦)
如果是post請求也可以放在請求體中
8.在koa項目中使用
可以使用現成庫,jwt-simple 或者 jsonwebtoken
let Koa = require(
- 實作兩個接口 一個是/login 驗證是否登入,一個是 validate,驗證是否有權限
- 請求login接口的時候,用戶端帶username和password, 後端一般會查資料庫,驗證是否存在目前使用者,如果存在則為username進行簽名,千萬不要給password這些敏感資訊也帶進來簽名
- 用戶端接收後端給的token令牌,再請求其他接口,比如這個例子的/validate的時候,ajax請求的時候,可以在header指定authorization字段,後端拿到token進行decode,然後将header和payload進行再一次的簽名,如果前後的簽名一緻,說明沒有被篡改過,則權限驗證通過。因為是同步的過程,是以可以用try catch來捕捉錯誤
9.原理的實作
- sha256雜湊演算法,可以用nodejs的内置加密子產品crypto, 生成base64字元串,要注意的是生成base64需要為+ - = 做一下替換,=被省略、+替換成-,/替換成_ 。這就是 Base64URL 算法。
- token令牌的組成是header, payload和sigin的通過.來組成
- base64urlUnescape的解碼是固定寫法,decode出base64的内容
10.jwt的優缺點
- JWT 預設不加密,但可以加密。生成原始令牌後,可以使用改令牌再次對其進行加密。
- 當 JWT 未加密方法是,一些私密資料無法通過 JWT 傳輸。
- JWT 不僅可用于認證,還可用于資訊交換。善用 JWT 有助于減少伺服器請求資料庫的次數。
- JWT 的最大缺點是伺服器不儲存會話狀态,是以在使用期間不可能取消令牌或更改令牌的權限。也就是說,一旦 JWT 簽發,在有效期内将會一直有效。
- JWT 本身包含認證資訊,是以一旦資訊洩露,任何人都可以獲得令牌的所有權限。為了減少盜用,JWT 的有效期不宜設定太長。對于某些重要操作,使用者在使用時應該每次都進行進行身份驗證。
- 為了減少盜用和竊取,JWT 不建議使用 HTTP 協定來傳輸代碼,而是使用加密的 HTTPS 協定進行傳輸。