本文提供了JWT解决方案资料,介绍了JWT的基本概念、工作原理和组成部分,详细解释了JWT在认证与授权、跨域共享状态等方面的使用场景,并展示了JWT的生成与解析方法。
JWT简介与基本概念什么是JWT
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地进行信息传递。JWT的结构是紧凑且自包含的,因此非常适合通过HTTP请求头进行传递。JWT的设计目的是为了在网络应用中传递认证信息,常见的使用场景包括用户认证和信息交换。
JWT的工作原理
JWT的工作原理如下:
- 生成JWT:服务器创建一个JWT,并将其返回给客户端。
- 传递JWT:客户端存储JWT(通常是存储在本地存储中),并将其包含在后续的每个请求中(例如,附加在HTTP请求头的Authorization字段中)。
- 验证JWT:服务器收到请求后,会验证JWT,验证通过后,服务器继续处理该请求。
JWT的工作流程可以简化为以下步骤:
- 服务器生成JWT:服务器根据请求生成一个包含用户信息的JWT,使用密钥进行签名。
- 客户端存储JWT:客户端接收到JWT后,将其存储在本地存储(如localStorage或sessionStorage)中。
- 客户端发送JWT:客户端在每个请求中携带JWT,通过HTTP请求头的Authorization字段发送给服务器。
- 服务器验证JWT:服务器接收到请求后,提取JWT,使用相同的密钥验证其有效性。验证通过后,服务器继续处理请求。
JWT的组成部分
JWT由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。
-
头部:包含令牌的类型("JWT")和所使用的算法(如HMAC SHA256或RSA)。这种方式的格式如下:
{ "alg": "HS256", "typ": "JWT" } -
载荷:这是JWT的主体部分,包含了声明(claims),声明是关于实体(人、项目)的声明,或者额外的元数据。载荷可以包含诸如用户ID、用户名、手机号、邮箱等信息,但不应包含敏感信息,如密码明文。载荷内容的结构如下:
{ "sub": "1234567890", "name": "John Doe", "email": "john@example.com", "iat": 1516239022 } -
签名:签名用于验证消息的发送方是否为发送消息的人,以及消息在传输过程中是否被更改。生成签名的方式是用header和payload进行编码后的字符串与一个密钥一起,使用header中指定的算法生成签名,然后将这些部分组合起来,形成最终的令牌。生成签名的代码如下:
const jwt = require('jsonwebtoken'); const secret = 'your-256-bit-secret'; const token = jwt.sign({ some: 'payload' }, secret, { expiresIn: '1h' });
JWT可以在多种场景中发挥作用,以下是一些常见的使用场景:
认证与授权
JWT可以用于替代传统的Cookie和Session认证方式,客户端向服务器发送JWT以请求某个资源或执行某个操作。服务端收到JWT后会验证其有效性,验证通过后提供相应的服务。这种方法在以下场景中特别有用:
- 单点登录:使用JWT来实现跨应用的单点登录功能。
- API网关:API网关或微服务系统中,可以使用JWT来限制访问权限。
跨域共享状态
在跨域请求中,Cookie与Session机制通常会受到Same Origin Policy(同源策略)的限制,而JWT可以在前后端之间无障碍地传输,对于跨域共享状态非常有用。
简化客户端存储
在传统的Session认证机制中,服务端需要保存用户的Session信息,会占用一定的服务器资源。而使用JWT,认证信息可以放在客户端,服务端无需保存Session。对于移动应用或浏览器,存储一个JWT比存储一个Session Cookie要简单得多,因为JWT可以被存储在localStorage或sessionStorage中。
JWT的生成与解析如何生成JWT
在生成JWT时,需要一个密钥,该密钥用于签名JWT。该密钥可以是一个字符串,也可以是其他类型的值,例如公钥/私钥对。
生成JWT的代码示例如下:
const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';
const payload = {
some: 'payload',
};
const token = jwt.sign(payload, secret, {
expiresIn: '1h' // 设置JWT过期时间
});
console.log(token);如何解析JWT
解析JWT时,需要使用相同的密钥来验证签名。如果签名不匹配,则JWT无效。以下是如何解析JWT的示例代码:
const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';
const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzb21lIjoicGF5bG9hZCIsImlhdCI6MTUxNjIzOTAyMn0.eyJzb21lIjoicGF5bG9hZCIsImlhdCI6MTUxNjIzOTAyMn0';
try {
const decoded = jwt.verify(token, secret);
console.log(decoded);
} catch (err) {
console.log('Token is invalid');
}核心算法介绍
JWT支持多种算法,其中最常用的有HMAC SHA256(使用密钥进行签名)、RS256(使用非对称密钥进行签名)、HS256(使用密钥进行签名)。这些算法的作用是确保JWT的完整性,防止篡改。
HMAC SHA256算法:
const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';
const payload = {
some: 'payload',
};
const token = jwt.sign(payload, secret, {
algorithm: 'HS256', // 指定算法
expiresIn: '1h' // 设置JWT过期时间
});
console.log(token);RS256算法(使用非对称密钥进行签名):
const jwt = require('jsonwebtoken');
const { JWK } = require('node-jose');
JWK.createKeyStore()
.then(ks => ks.generate('RSA2048'))
.then(key => {
const privateKey = key.getMaterial().toString('utf8');
const publicKey = key.toPublic().toPEM();
const token = jwt.sign({ sub: '1234567890', name: 'John Doe', iat: 1516239022 }, privateKey, { algorithm: 'RS256' });
console.log(token);
console.log(jwt.verify(token, publicKey));
});HS256算法:
const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';
const payload = {
some: 'payload',
};
const token = jwt.sign(payload, secret, {
expiresIn: '1h' // 设置JWT过期时间
});
console.log(token);安全性考虑
- 密钥管理:密钥是JWT安全性的核心,一旦泄露,会导致严重的安全问题,要使用安全的密钥管理机制来保护密钥。
- 过期时间:设置合理的过期时间,以防止JWT在过期后仍然被使用。
- 令牌验证:每次接收到JWT时都必须进行验证,确保令牌未被篡改。
- 不允许在前端存储敏感信息:JWT的载荷部分不应该包含敏感信息,如密码或银行卡号等。
JWT的存储与传输
- 存储:客户端可以将JWT存储在内存中或本地存储中,但不应存储在Cookie中,因为Cookie可能会受到Same Origin Policy限制。
- 传输:传输JWT时,必须使用HTTPS协议,以防止中间人攻击。
常见问题与解决方案
- JWT过期时间设定过长:如果JWT过期时间设置过长,会导致安全性降低,解决方案是设置合理的过期时间,并在过期后要求用户重新登录或刷新令牌。
- JWT大小限制:JWT大小不应超过4KB,否则会导致性能问题,解决方案是减少载荷中的数据量。
- JWT篡改:JWT篡改会导致数据被篡改或伪造,解决方案是使用合适的算法进行签名。
示例代码
存储与传输JWT
// 使用localStorage存储JWT
localStorage.setItem('token', token);
// 在请求头中设置JWT
const headers = {
'Authorization': `Bearer ${token}`
};
axios.get('/protected', { headers });保护资源
app.get('/protected', (req, res) => {
const token = req.headers.authorization;
if (!token) {
return res.status(401).send('No token provided');
}
jwt.verify(token, secret, (err, decoded) => {
if (err) {
return res.status(401).send('Invalid token');
}
res.send(`Welcome ${decoded.username}`);
});
});准备工作
我们准备使用Node.js和Express框架来实现一个简单的JWT认证系统。在此之前,你需要确保已经安装了Node.js环境,并且安装了以下依赖:
express: 用于构建Web服务器。jsonwebtoken: 用于生成和验证JWT。
安装这些依赖:
npm install express jsonwebtoken代码实现步骤
- 创建Express应用:设置基本的Express应用,定义路由。
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
const secret = 'your-256-bit-secret';
app.get('/', (req, res) => {
res.send('Welcome to the JWT Auth System');
});
app.post('/login', (req, res) => {
const { username, password } = req.body;
// 这里应进行实际的用户认证逻辑,这里仅做示例
if (username === 'admin' && password === 'password') {
const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
res.json({ token });
} else {
res.status(401).send('Invalid credentials');
}
});
app.get('/protected', (req, res) => {
const token = req.headers.authorization;
if (!token) {
return res.status(401).send('No token provided');
}
jwt.verify(token, secret, (err, decoded) => {
if (err) {
return res.status(401).send('Invalid token');
}
res.send(`Welcome ${decoded.username}`);
});
});
app.listen(3000, () => {
console.log('Server is running on port 3000');
});- 用户登录:用户登录后,服务器将生成JWT,并返回给客户端。
const express = require('express');
const app = express();
const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';
app.post('/login', (req, res) => {
const { username, password } = req.body;
// 这里应进行实际的用户认证逻辑,这里仅做示例
if (username === 'admin' && password === 'password') {
const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
res.json({ token });
} else {
res.status(401).send('Invalid credentials');
}
});- 保护资源:对需要认证的资源进行保护,只有携带有效JWT的请求才能访问。
const express = require('express');
const app = express();
const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';
app.get('/protected', (req, res) => {
const token = req.headers.authorization;
if (!token) {
return res.status(401).send('No token provided');
}
jwt.verify(token, secret, (err, decoded) => {
if (err) {
return res.status(401).send('Invalid token');
}
res.send(`Welcome ${decoded.username}`);
});
});调试与优化
为了测试和调试你的JWT认证系统,你需要执行以下步骤:
- 启动服务器:通过命令
node app.js启动你的Express应用。 - 测试登录:使用Postman或其他工具,发送POST请求至
/login,并传递用户名和密码。 - 测试保护资源:在请求头中添加
Authorization: Bearer [JWT],然后发送GET请求至/protected,验证是否能够访问资源。
相关工具与库
- jsonwebtoken: 用于生成和验证JWT。参见:https://github.com/auth0/node-jsonwebtoken
- JWT.IO: 在线工具,用于生成、解析和验证JWT。参见:https://jwt.io/
- Express: Node.js的Web应用框架,用于构建JWT认证系统。参见:https://expressjs.com/
进一步学习的资料推荐
- 慕课网:提供丰富的视频教程和实战项目,适合初学者和进阶学习。参见:https://www.imooc.com/
- JWT官方文档:了解JWT的详细规范和技术细节。参见:https://tools.ietf.org/html/rfc7519
- Node.js官方文档:学习Node.js的基础知识和高级特性。参见:https://nodejs.org/en/docs/
随时随地看视频
