实现jwt鉴权机制

JWT（JSON Web Token），本质就是⼀个字符串书写规范，如下图，作⽤是⽤来在⽤⼾和服务器之

间传递安全可靠的信息

在⽬前前后端分离的开发过程中，使⽤ token 鉴权机制⽤于⾝份验证是最常⻅的⽅案，流程如下：

•

服务器当验证⽤⼾账号和密码正确的时候，给⽤⼾颁发⼀个令牌，这个令牌作为后续⽤⼾访问⼀些

接⼝的凭证

•

后续访问会根据这个令牌判断⽤⼾时候有权限进⾏访问

Token ，分成了三部分，头部（Header）、载荷（Payload）、签名（Signature），并以 . 进⾏

拼接。其中头部和载荷都是以 JSON 格式存放数据，只是进⾏了编码13.1.1. header

每个JWT都会带有头部信息，这⾥主要声明使⽤的算法。声明算法的字段名为 alg ，同时还有⼀个

typ 的字段，默认 JWT 即可。以下⽰例中算法为HS256

1 { “alg”: “HS256”, “typ”: “JWT” }

因为JWT是字符串，所以我们还需要对以上内容进⾏Base64编码，编码后字符串如下：

1 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

13.1.2. payload载荷即消息体，这⾥会存放实际的内容，也就是 Token 的数据声明，例如⽤⼾的 id 和 name ，默

认情况下也会携带令牌的签发时间 iat ，通过还可以设置过期时间，如下：

{

“sub”: “1234567890”,

“name”: “John Doe”,

“iat”: 1516239022

}

同样进⾏Base64编码后，字符串如下：

1 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

13.1.3. Signature

签名是对头部和载荷内容进⾏签名，⼀般情况，设置⼀个 secretKey ，对前两个的结果进⾏

HMACSHA25 算法，公式如下：

1 Signature = HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey)

⼀旦前⾯两部分数据被篡改，只要服务器加密⽤的密钥没有泄露，得到的签名肯定和之前的签名不⼀

致

13.2. 如何实现

Token 的使⽤分成了两部分：

•

⽣成token：登录成功的时候，颁发token

•

验证token：访问某些资源或者接⼝时，验证token

13.2.1. ⽣成 token

借助第三⽅库 jsonwebtoken ，通过 jsonwebtoken 的 sign ⽅法⽣成⼀个 token ：

•

第⼀个参数指的是 Payload

•

第⼆个是秘钥，服务端特有

•

第三个参数是 option，可以定义 token 过期时间

1 const crypto = require(“crypto”),2 jwt = require(“jsonwebtoken”);

3 // TODO:使⽤数据库

4 // 这⾥应该是⽤数据库存储，这⾥只是演⽰⽤

5 let userList = [];

6 class UserController {

7 // ⽤⼾登录

8 static async login(ctx) {

9 const data = ctx.request.body;

10 if (!data.name || !data.password) {

11 return ctx.body = {

12 code: “000002”,

13 message: “参数不合法”

14 }

15 }

16 const result = userList.find(item => item.name === data.name &&

item.password === crypto.createHash(‘md5’).update(data.password).digest(‘hex’))

17 if (result) {

18 // ⽣成**token

19 const token = jwt.sign(

21 {

22 name: result.name

23 },

24 “test_token”, // secret

25 { expiresIn: 60 * 60 } // 过期时间：**60 * 60 s

26 );

27 return ctx.body = {

28 code: “0”,

29 message: “登录成功”,

30 data: {

31 token

32 }

33 };

34 } else {

35 return ctx.body = {

36 code: “000002”,

37 message: “⽤⼾名或密码错误”

38 };

39 }

40 }

41 }

42 module.exports = UserController;

在前端接收到 token 后，⼀般情况会通过 localStorage 进⾏缓存，然后将 token 放到 HTTP

请求头 Authorization 中，关于 Authorization 的设置，前⾯要加上 Bearer ，注意后⾯带有

空格axios.interceptors.request.use(config => {

const token = localStorage.getItem(‘token’);

config.headers.common[‘Authorization’] = ‘Bearer ‘ + token; // 留意这⾥的

Authorization

return config;

})

13.2.2. 校验token

使⽤ koa-jwt 中间件进⾏验证，⽅式⽐较简单

/ 注意：放在路由前⾯

app.use(koajwt({

secret: ‘test_token’

}).unless({ // 配置⽩名单

path: [//api/register/, //api/login/]

}))

•

secret 必须和 sign 时候保持⼀致

•

可以通过 unless 配置接⼝⽩名单，也就是哪些 URL 可以不⽤经过校验，像登陆/注册都可以不⽤校

验

•

校验的中间件需要放在需要校验的路由前⾯，⽆法对前⾯的 URL 进⾏校验

获取 token ⽤⼾的信息⽅法如下：

router.get(‘/api/userInfo’,async (ctx,next) =>{

const authorization = ctx.header.authorization // 获取**jwt

const token = authorization.replace(‘Beraer ‘,’’)

const result = jwt.verify(token,’test_token’)

ctx.body = result

注意：上述的 HMA256 加密算法为单秘钥的形式，⼀旦泄露后果⾮常的危险

在分布式系统中，每个⼦系统都要获取到秘钥，那么这个⼦系统根据该秘钥可以发布和验证令牌，但

有些服务器只需要验证令牌

这时候可以采⽤⾮对称加密，利⽤私钥发布令牌，公钥验证令牌，加密算法可以选择 RS256

13.3. 优缺点

优点：•

json具有通⽤性，所以可以跨语⾔

•

组成简单，字节占⽤⼩，便于传输

•

服务端⽆需保存会话信息，很容易进⾏⽔平扩展

•

⼀处⽣成，多处使⽤，可以在分布式系统中，解决单点登录问题

•

可防护CSRF攻击

缺点：

•

payload部分仅仅是进⾏简单编码，所以只能⽤于存储逻辑必需的⾮敏感信息

•

需要保护好加密密钥，⼀旦泄露后果不堪设想

•

为避免token被劫持，最好使⽤https协议