什么是JWT？本篇文章帶大家了解一下JWT，介紹一下JWT在node中的應(yīng)用，以及JWT的優(yōu)缺點(diǎn)，希望對大家有所幫助！

什么是JWT

JWT也就是JSON Web Token的縮寫，也就是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境中一種認(rèn)證解決方案，在傳統(tǒng)的認(rèn)證機(jī)制中，無非是一下幾個(gè)步驟：

1. 用戶將賬號密碼發(fā)送到服務(wù)器；  2. 服務(wù)器通過驗(yàn)證賬號密碼后，會在當(dāng)前session中保存一些用戶相關(guān)的信息，用戶角色或者過期時(shí)間等等；  3. 服務(wù)器給用戶一個(gè)session_id, 寫入用戶的Cookie或者客戶端自行保存在本地；  4. 用戶每次請求服務(wù)，都需要帶上這個(gè)session_id，或許會通過Cookie，或者其他的方式；  5. 服務(wù)器接收到后，回去數(shù)據(jù)庫查詢當(dāng)前的session_id，校驗(yàn)該用戶是否有權(quán)限；

這種模式有一種優(yōu)勢在于，服務(wù)器隨時(shí)可以終止用戶的權(quán)限，可以去數(shù)據(jù)庫修改或者刪除當(dāng)前用戶的session信息。但是也有一點(diǎn)不好的，就是如果是服務(wù)器集群的話，所有的機(jī)器就需要共享這些session信息，確保每臺服務(wù)器都能夠獲取到相同的session存儲信息。雖然可以解決這些問題，但是工程量巨大。

JWT方案的優(yōu)勢呢，就是不保存這些信息，token數(shù)據(jù)保存在客戶端，每次接受請求時(shí)，只需要校驗(yàn)就好。

JWT的原理

簡單說一下JWT的原理，其實(shí)就是客戶端發(fā)送請求認(rèn)證的時(shí)候，服務(wù)器在認(rèn)證用戶之后，會生成一個(gè)JSON對象，大概包括“你是誰，你是干嘛的等等，到期時(shí)間”這些信息，重要的是一定要有到期時(shí)間；大致格式為：

{     username: "賊煩字符串er",     role: "世代碼農(nóng)",     endTime: "2022年5月20日" }

但是不會用這么膚淺的方式傳給你，它會通過制定的簽名算法和你提交的payload的一些信息進(jìn)行可逆的簽名算法進(jìn)行簽名后傳輸，大致的格式我用一張圖片表示：

由圖片可以看出，返回的信息大致分為三部分，左側(cè)為簽名之后的結(jié)果，也就是返回給客戶端的結(jié)果，右側(cè)也是就Decoded的源碼了，三部分由“點(diǎn)”隔開，分別由紅、紫、青三種顏色一一對應(yīng)：

• 第一個(gè)紅色部分是Header，Header中主要是指定了的方式，圖中的簽名算法（默認(rèn)HS256）就是帶有 SHA-256 的 HMAC 是一種對稱算法, 雙方之間僅共享一個(gè)密鑰，typ字段標(biāo)識為JWT類型；

• 第二個(gè)紫色部分payload，就是一個(gè)JSON對象，也就是實(shí)際要傳輸?shù)臄?shù)據(jù)，官方有七個(gè)字段可以使用：

  • iss (issuer)：簽發(fā)人
  • exp (expiration time)：過期時(shí)間
  • sub (subject)：主題
  • aud (audience)：受眾
  • nbf (Not Before)：生效時(shí)間
  • iat (Issued At)：簽發(fā)時(shí)間
  • jti (JWT ID)：編號

除了這些字段，你還可以搞一些自定義的字段，由于JWT默認(rèn)是不加密的，所以在使用的時(shí)候盡量注意不要使用一些敏感數(shù)據(jù)。

• 第三部分就是Signature簽名，這一部分，是由你自己指定且只有服務(wù)器存在的秘鑰，然后使用頭部指定的算法通過下面的簽名方法進(jìn)行簽名。

JWT的簡單使用

下面我們來感受一下具體的使用：

第一步：我們需要搭建一個(gè)nodejs的項(xiàng)目；通過npm init -y初始化一個(gè)項(xiàng)目；之后我們需要安裝依賴，分別按狀express、jsonwebtoken和nodemon三個(gè)依賴:

$ npm i express jsonwebtoken nodemon

之后在package.json中的scripts字段中添加nodemon app.js命令：

"scripts": {     "start": "nodemon app.js" },

第二步：初始化一下node應(yīng)用，在根目錄下創(chuàng)建app.js文件；

// app.js  const express = require("express"); const app = express();  app.use(express.json());  app.listen(3000, () => {   console.log(3000 + " listening..."); // 監(jiān)聽3000端口 });

第三步：引入jsonwebtoken依賴，并且創(chuàng)建接口和服務(wù)器的私鑰；

// app.js  //... const jwt = require("jsonwebtoken");  const jwtKey = "~!@#$%^&*()+,"; // ...

這里面的jwtKey是我們自定義保存僅限保存在服務(wù)器中的私鑰，之后我們開始寫一個(gè) /login 接口，用來登錄，并且創(chuàng)建本地的模擬數(shù)據(jù)庫用來校驗(yàn)，并通過jwt.sign方法進(jìn)行校驗(yàn)簽名：

// app.js const database = {   username: "username",   password: "password", };  app.post("/login", (req, res) => {   const { username, password } = req.body;   if (username === database.username && password === database.password) {     jwt.sign(       {         username,       },       jwtKey,       {         expiresIn: "30S",       },       (_, token) => {         res.json({           username,           message: "登陸成功",           token,         });       }     );   } });

上面代碼中我們創(chuàng)建了database變量來模擬創(chuàng)建了本地的賬號密碼數(shù)據(jù)庫，用來校驗(yàn)登陸；接下來建立了一個(gè)/login的post接口，在校驗(yàn)賬號密碼完全匹配之后，我們通過jsonwebtoken包導(dǎo)入的jwt對象下的人sign方法進(jìn)行簽名，這個(gè)方法有三種接口簽名：

export function sign(     payload: string | Buffer | object,     secretOrPrivateKey: Secret,     options?: SignOptions, ): string;  export function sign(     payload: string | Buffer | object,     secretOrPrivateKey: Secret,     callback: SignCallback, ): void;  export function sign(     payload: string | Buffer | object,     secretOrPrivateKey: Secret,     options: SignOptions,     callback: SignCallback, ): void;

這里用到了函數(shù)重載的方式實(shí)現(xiàn)接口，我們這里將實(shí)現(xiàn)最后一個(gè)接口簽名，第一個(gè)參數(shù)可以是一個(gè)自定義的對象類型，也可以是一個(gè)Buffer類型，還可以直接是一個(gè)string類型，我們的源碼使用了object類型，自定義了一些字段，因?yàn)閖wt在進(jìn)行簽名是也會對這些數(shù)據(jù)一并進(jìn)行簽名，但是值得注意的是，這里盡量不要使用敏感數(shù)據(jù)，因?yàn)镴WT默認(rèn)是不加密的，它的核心就是簽名，保證數(shù)據(jù)未被篡改，而檢查簽名的過程就叫做驗(yàn)證。

當(dāng)然你也可以對原始Token進(jìn)行加密后傳輸；

第二個(gè)參數(shù)：是我們保存在服務(wù)器用來簽名的秘鑰，通常在客戶端-服務(wù)端模式中，JWS 使用 JWA 提供的 HS256 算法加上一個(gè)密鑰即可，這種方式嚴(yán)格依賴密鑰，但在分布式場景，可能多個(gè)服務(wù)都需要驗(yàn)證JWT，若要在每個(gè)服務(wù)里面都保存密鑰，那么安全性將會大打折扣，要知道，密鑰一旦泄露，任何人都可以隨意偽造JWT。

第三個(gè)參數(shù)：是簽名的選項(xiàng)SignOptions，接口的簽名：

export interface SignOptions {     algorithm?: Algorithm | undefined;     keyid?: string | undefined;     expiresIn?: string | number | undefined;     /** expressed in seconds or a string describing a time span [zeit/ms](https://github.com/zeit/ms.js).  Eg: 60, "2 days", "10h", "7d" */     notBefore?: string | number | undefined;     audience?: string | string[] | undefined;     subject?: string | undefined;     issuer?: string | undefined;     jwtid?: string | undefined;     mutatePayload?: boolean | undefined;     noTimestamp?: boolean | undefined;     header?: JwtHeader | undefined;     encoding?: string | undefined; }

這里我們用的是expiresIn字段，指定了時(shí)效時(shí)間，使用方法參考這個(gè)文檔；

第四個(gè)參數(shù)是一個(gè)回調(diào)，回調(diào)的第二個(gè)參數(shù)就是我們通過簽名生成的token，最后將這個(gè)token返回給前端，以便存儲到前端本地每次請求是帶上到服務(wù)端進(jìn)行驗(yàn)證。

接下來，我們來驗(yàn)證一下這個(gè)接口： 我是在vscode安裝的REST Client插件，之后在根目錄創(chuàng)建一個(gè)request.http的文件，文件內(nèi)寫上請求的信息：

POST http://localhost:3000/login content-type: application/json  {   "username": "username",   "password": "password" }

之后在命令行執(zhí)行npm run start命令啟動服務(wù)，之后在requset.http文件上方點(diǎn)擊Send Request按鈕，發(fā)送請求：

請求成功后，會看到這樣的響應(yīng)報(bào)文：

token字段就是我們JWT生成的token;

下面來驗(yàn)證一下這個(gè)token是否有效，我們在寫一個(gè)登錄過后的接口：

app.get("/afterlogin", (req, res) => {   const { headers } = req;      const token = headers["authorization"].split(" ")[1];   // 將token放在header的authorization字段中   jwt.verify(token, jwtKey, (err, payload) => {     if (err) return res.sendStatus(403);     res.json({ message: "認(rèn)證成功", payload });   }); });

這段代碼中，通過獲取請求頭中的authorization字段中的token進(jìn)行獲取之前通過JWT生成的token。 之后通過調(diào)用jwt.verify校驗(yàn)方法校驗(yàn)這個(gè)token是否有效，這個(gè)方法分別有三個(gè)參數(shù)：

// 有四個(gè)接口簽名，可以自行查文檔  export function verify(     token: string,     // 需要檢驗(yàn)的token     secretOrPublicKey: Secret | GetPublicKeyOrSecret,     // 定義在服務(wù)器的簽名秘鑰     callback?: VerifyCallback<JwtPayload | string>,     // 獲取校驗(yàn)信息結(jié)果的回調(diào) ): void;

接下來我們把剛才響應(yīng)的token復(fù)制到請求頭中：

### GET http://localhost:3000/afterlogin authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InVzZXJuYW1lIiwiaWF0IjoxNjUyNzg5NzA3LCJleHAiOjE2NTI3ODk3Mzd9.s9fk3YLhxTUcpUgCfIK4xQN58Hk_XEP5y9GM9A8jBbY

前面的Bearer認(rèn)證， 是http協(xié)議中的標(biāo)準(zhǔn)認(rèn)證方式

同樣點(diǎn)擊Send Request當(dāng)看到下面圖片的響應(yīng)，就意味著響應(yīng)成功:

其實(shí)