什么是token鉴权呢?
token就是令牌的意思,举个生活中的例子:
大家肯定都去过ktv,你在收银台交过钱后,一般会在你的手上盖个戳,然后你去唱歌,唱到一半的时候,突然想起自己的车好像没锁!你心急火燎的跑出去锁车,但回来的时候被保安大哥拦下:交钱了没哥们?这时你出示一下手上的印戳,保安大哥查验后就让你顺利通过了。
这个戳就是token令牌,代表你交过钱了;而保安大哥的查验就是鉴权。
因此,token鉴权的过程就是:
1、登陆页面,输入了用户名和密码,然后通过ajax提交到后台。
2、后台拿到了用户名密码,去数据库查询该用户。
3、查询成功后,对用户名和密码等敏感信息进行JWT加密,将加密后的token返回给前端。
4、前端在访问其他页面时,都需带上token。
5、后台其他接口都校验token。
下面看一下代码实现:
//生成一个token
const jwt = require('jsonwebtoken');
const secret = 'test';//私钥
//生成token
let token = jwt.sign({
uid: 2,
name: 'zhangsan',
pass:'123456',
isAdmin:true,
}, secret,{ expiresIn: '2h' })
console.log(token)
//校验token
jwt.verify(token, secret, (err, info) => {
if (err) {
console.log(err)
}
console.log(info)//校验成功
})
//校验token
// jwt.verify(token,'hello',(err,info)=>{
// if(err){
// console.log(err)//校验失败
// }
// console.log(info)
// })
看起来挺容易的哈,但如果生产环境这么搞,问题就大了。。。
我们看一下生成的token是啥样子:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjIsIm5hbWUiOiJ6aGFuZ3NhbiIsInBhc3MiOiIxMjM0NTYiLCJpc0FkbWluIjp0cnVlLCJpYXQiOjE1ODYyNDE0MTksImV4cCI6MTU4NjI0ODYxOX0.T12gy6v1ee5IXTgb1ht45tFX9ta6PMOn4mPH9gDrzSk
用点分隔,一共分了三段。其中前两段其实是可以用base64还原出来的:
console.log(Buffer.from('eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9', 'base64').toString('ascii'))//header信息
console.log(Buffer.from('eyJ1aWQiOjIsIm5hbWUiOiJ6aGFuZ3NhbiIsInBhc3MiOiIxMjM0NTYiLCJpc0FkbWluIjp0cnVlLCJpYXQiOjE1ODYyNDE0MTksImV4cCI6MTU4NjI0ODYxOX0', 'base64').toString('ascii'))//payload载荷信息
下面解释一下token的组成部分。
第一段:头部header
{"alg":"HS256","typ":"JWT"}
这个主要是定义了一些规则:typ就是类型,alg是声明加密的算法。
第二段:载荷payload
{"uid":2,"name":"zhangsan","pass":"123456","isAdmin":true,"iat":1586241419,"exp":1586248619}
载荷是信息的主体部分,这个实际上是万万不能放敏感信息的,否则返回到客户端人家一解密,信息都爆出来啦~~
第三段:签名signature
base64加密后的header,和base64加密后的payload,二者连接组成字符串,然后通过header中声明的加密方式进行私钥secret组合加密,然后就构成了jwt的第三部分——签名。
这个签名不可简单的认为是一个类似md5的加密字符串,因为相同的header和payload,每次刷新都会产生不一样的值。签名是用的HS256算法加密的,比md5更安全。
如果载荷payload无法放敏感信息,那又能放什么呢?
如果载荷什么都不放,又怎么来区分不同用户呢?
其实也简单:
载荷信息只放uid好啦,也就是用户表的自增id。
//生成一个token
const jwt = require('jsonwebtoken');
const secret = 'test';//私钥
//生成token
let token = jwt.sign({
uid: 2
}, secret,{ expiresIn: '2h' })
console.log(token)
这个信息并不重要,前端即使知道了这个用户id,要伪造一个token通过验证,则必须知道secret私钥才行。
下面看一下使用方法。
以express为例,我们可以在路由/login生成token返回给前端,然后在app.js入口让其他所有的路由都走鉴权。
var expressJWT = require('express-jwt');//跟生成jwt不是一个中间件
var mySecret = "test" //私钥
app.use(expressJWT({
secret: mySecret
}).unless({
path: ['/login'] //除了这个地址,其他的URL都需要验证
}));
