Node使用koa2实现一个简单JWT鉴权的方法

JWT 简介

什么是 JWT

全称 JSON Web Token , 是目前最流行的跨域认证解决方案。基本的实现是服务端认证后,生成一个 JSON 对象,发回给用户。用户与服务端通信的时候,都要发回这个 JSON 对象。

JSON 类似如下:

{
 "姓名": "张三",
 "角色": "管理员",
 "到期时间": "2018年7月1日0点0分"
}

为什么需要 JWT

先看下一般的认证流程,基于 session_idCookie 实现

1、用户向服务器发送用户名和密码。

2、服务器验证通过后,在当前对话( session )里面保存相关数据,比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id ,写入用户的 Cookie

4、用户随后的每一次请求,都会通过 Cookie ,将 session_id 传回服务器。

5、服务器收到 session_id ,找到前期保存的数据,由此得知用户的身份。

但是这里有一个大的问题, 假如是服务器集群,则要求 session 数据共享,每台服务器都能够读取 session 。这个实现成本是比较大的。

JWT 转换了思路,将 JSON 数据返回给前端的,前端再次请求时候将数据发送到后端,后端进行验证。也就是服务器是无状态的,所以更加容易拓展。

JWT 的数据结构

JWT 的三个部分依次如下:

Header (头部),类似如下

{
 "alg": "HS256",
 "typ": "JWT"
}

alg 属性表示签名的算法( algorithm ),默认是 HMAC SHA256 (写成 HS256 )。 typ 属性表示这个令牌( token )的类型( type ), JWT 令牌统一写为 JWT

Payload (负载)。也是一个 JSON ,用来存放实际需要传递的数据。 JWT 规定了 7 个官方字段。如下所示

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

当然也可以自定义私有字段。 但是要注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

Signature (签名)。 Signature 部分是对前两部分的签名,防止数据篡改。首先,需要指定一个密钥( secret )。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256 ),按照下面的公式产生签名。

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

算出签名以后,把 HeaderPayloadSignature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。如下所示

JWT 的安全

  • JWT 默认是不加密,但也是可以加密的。 JWT 不加密的情况下,不能将秘密数据写入 JWT
  • JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用, JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
  • 为了减少盗用, JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输

Node 简单demo—— Koa JWT 的实现

说完理论知识,我们来看下如何实现 JWT ,大致的流程如下:

首先,用户登录后服务端根据用户信息生成并返回 token 给到客户端,前端在下次请求中把 token 带给服务器,服务器验证有效后,返回数据。无效的话,返回 401 状态码

这里我们用 Node 实现,主要用到的两个库有

jsonwebtoken,可以生成 token ,校验等

koa-jwt 中间件jsonwebtoken 进一步的封装,主要用来校验 token

快速搭建一个 koa 项目

发现官方目前没有一个快速搭建 koa 项目的方式,像 Vue-cli 一样。(可能是搭建一个 koa 项目成本也很低)。但懒人的我,还是找到了一个工具 ——koa-generator,使用也相对简单,如下

安装

npm install -g koa-generator

koa2 my-project 新建一个叫做 my-projectkoa2 项目

cd my-projectnpm install

启动项目 npm start

打开 localhost:3000

生成 Token

为了演示方便,我这里直接定义了变量 userList 存储用户的信息,真实应该是存放在数据库中的。

const crypto = require("crypto"),
 jwt = require("jsonwebtoken");
// TODO:使用数据库
// 这里应该是用数据库存储,这里只是演示用
let userList = [];

class UserController {
 // 用户登录
 static async login(ctx) {
  const data = ctx.request.body;
  if (!data.name || !data.password) {
   return ctx.body = {
    code: "000002",
    message: "参数不合法"
   }
  }
  const result = userList.find(item => item.name === data.name && item.password === crypto.createHash('md5').update(data.password).digest('hex'))
  if (result) {
   const token = jwt.sign(
    {
     name: result.name
    },
    "Gopal_token", // secret
    { expiresIn: 60 * 60 } // 60 * 60 s
   );
   return ctx.body = {
    code: "0",
    message: "登录成功",
    data: {
     token
    }
   };
  } else {
   return ctx.body = {
    code: "000002",
    message: "用户名或密码错误"
   };
  }
 }
}

module.exports = UserController;

通过 jsonwebtokensign 方法生成一个 token 。该方法第一个参数指的是 Payload (负载),用于编码后存储在 token 中的数据,也是校验 token 后可以拿到的数据。第二个是秘钥,服务端特有, 注意校验的时候要相同才能解码,而且是保密的 ,一般而言,最好是定公共的变量,这里只是演示方便,直接写死。第三个参数是 option ,可以定义 token 过期时间

客户端获取 token

前端登录获取到 token 后可以存储到 cookie 中也可以存放在 localStorage 中。这里我直接存到了 localStorage

login() {
 this.$axios
  .post("/api/login", {
   ...this.ruleForm,
  })
  .then(res => {
   if (res.code === "0") {
    this.$message.success('登录成功');
    localStorage.setItem("token", res.data.token);
    this.$router.push("/");
   } else {
    this.$message(res.message);
   }
  });
}

封装 axios 的拦截器,每次请求的时候把 token 带在请求头发送给服务器进行验证。这里如果之前放在 Cookie 中,可以让它自动发送,但是这样不能跨域。所以推荐做法是放在 HTTP 请求头 Authorization 中,注意这里的 Authorization 的设置,前面要加上 Bearer 。详情可以见 Bearer Authentication

// axios 请求拦截器处理请求数据
axios.interceptors.request.use(config => {
 const token = localStorage.getItem('token');
 config.headers.common['Authorization'] = 'Bearer ' + token; // 留意这里的 Authorization
 return config;
})

校验 token

使用 koa-jwt 中间件进行验证,方式比较简单,如下所示

// 错误处理
app.use((ctx, next) => {
 return next().catch((err) => {
   if(err.status === 401){
     ctx.status = 401;
    ctx.body = 'Protected resource, use Authorization header to get access\n';
   }else{
     throw err;
   }
 })
})

// 注意:放在路由前面
app.use(koajwt({
 secret: 'Gopal_token'
}).unless({ // 配置白名单
 path: [/\/api\/register/, /\/api\/login/]
}))

// routes
app.use(index.routes(), index.allowedMethods())
app.use(users.routes(), users.allowedMethods())

需要注意的是以下几点:

  • secret 必须和 sign 时候保持一致
  • 可以通过 unless 配置接口白名单,也就是哪些 URL 可以不用经过校验,像登陆/注册都可以不用校验
  • 校验的中间件需要放在需要校验的路由前面,无法对前面的 URL 进行校验

演示

如果直接访问需要登录的接口,则会 401

先注册,后登录,不然会提示用户名或者密码错误

登录后带上 Authorization ,可以正常访问,返回 200 以及正确的数据

总结

本文总结了关于 JWT 鉴权相关的知识,并提供了一个 koa2 实现的简单 demo ,希望对大家有所帮助。

受制于篇幅,有机会单独说下 koa-jwt 的源码,也相对比较简单~

本文 demo 地址:ClientServer

参考

JSON Web Token 入门教程

Node.js 应用:Koa2 使用 JWT 进行鉴权

到此这篇关于Node使用koa2实现一个简单JWT鉴权的方法的文章就介绍到这了,更多相关Node koa2 JWT鉴权内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Node.js Koa2使用JWT进行鉴权的方法示例

    前言 在前后端分离的开发中,通过 Restful API 进行数据交互时,如果没有对 API 进行保护,那么别人就可以很容易地获取并调用这些 API 进行操作.那么服务器端要如何进行鉴权呢? Json Web Token 简称为 JWT,它定义了一种用于简洁.自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法.JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名. 说得好像跟真的一样,那么到底要怎么进行认证呢? 首先用户登录时,输入用户名和密码后请求服务器登录接口

  • Node使用koa2实现一个简单JWT鉴权的方法

    JWT 简介 什么是 JWT 全称 JSON Web Token , 是目前最流行的跨域认证解决方案.基本的实现是服务端认证后,生成一个 JSON 对象,发回给用户.用户与服务端通信的时候,都要发回这个 JSON 对象. 该 JSON 类似如下: { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 为什么需要 JWT 先看下一般的认证

  • 前端node Session和JWT鉴权登录示例详解

    目录 服务端渲染及session鉴权 服务端渲染 优点 缺点 服务端身份验证Session原理 实践操作 其他 缺陷 关于跨域 想说的 JWT鉴权 适用情况 JWT鉴权原理 JWT header payload signature 实践 想说的 Token有效期问题 redis数据库及动态Token解决方案 最后 服务端渲染及session鉴权 服务端渲染 服务端渲染简单来说就是前端页面是由服务器通过字符串拼接动态生成的,客户端不需要额外通过Ajax请求参数,只需要做好渲染工作即可. 优点 前端

  • SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法

    最近在做项目的过程中 需要用JWT做登录和鉴权 查了很多资料 都不甚详细 有的是需要在application.yml里进行jwt的配置 但我在导包后并没有相应的配置项 因而并不适用 在踩过很多坑之后 稍微整理了一下 做个笔记 一.概念 1.什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便

  • 使用express搭建一个简单的查询服务器的方法

    本文介绍了使用express搭建一个简单的查询服务器的方法,分享给大家,具体如下: 使用到的技术栈有express.mysql. 项目结构: service --node_modules --app.js --query.js app.js支持调用服务,使用body-parser对request进行处理. query.js实现链接数据库以及查询数据库的功能. app.js代码如下: var express = require('express'); var query = require('./

  • 手把手教你用Java实现一套简单的鉴权服务

    前言 时遇JavaEE作业,题目要求写个简单web登录程序,按照老师的意思是用servlet.jsp和jdbc完成.本着要么不做,要做就要做好的原则,我开始着手完成此次作业(其实也是写实训作业的用户鉴权部分),而之前写项目的时候也有相关经验,这次正好能派上用场. 一.何为鉴权服务 引用百度百科的话说 鉴权(authentication)是指验证用户是否拥有访问系统的权利. 鉴权包括两个方面: 用户鉴权,网络对用户进行鉴权,防止非法用户占用网络资源. 网络鉴权,用户对网络进行鉴权,防止用户接入了非

  • 一个简单Ajax类库及使用方法实例分析

    本文实例讲述了一个简单Ajax类库及使用方法.分享给大家供大家参考,具体如下: ajax.js function Ajax(recvType){ var aj=new Object(); aj.recvType=recvType ? recvType.toUpperCase() : 'HTML' //HTML XML aj.targetUrl=''; aj.sendString=''; aj.resultHandle=null; aj.createXMLHttpRequest=function(

  • SpringCloud中Gateway实现鉴权的方法

    目录 一.JWT 实现微服务鉴权 1 什么是微服务鉴权 2.代码实现 一.JWT 实现微服务鉴权 JWT一般用于实现单点登录.单点登录:如腾讯下的游戏有很多,包括lol,飞车等,在qq游戏对战平台上登录一次,然后这些不同的平台都可以直接登陆进去了,这就是单点登录的使用场景.JWT就是实现单点登录的一种技术,其他的还有oath2等. 1 什么是微服务鉴权 我们之前已经搭建过了网关,使用网关在网关系统中比较适合进行权限校验. 那么我们可以采用JWT的方式来实现鉴权校验. 2.代码实现 思路分析 1.

  • Java中使用JWT生成Token进行接口鉴权实现方法

    先介绍下利用JWT进行鉴权的思路: 1.用户发起登录请求. 2.服务端创建一个加密后的JWT信息,作为Token返回. 3.在后续请求中JWT信息作为请求头,发给服务端. 4.服务端拿到JWT之后进行解密,正确解密表示此次请求合法,验证通过:解密失败说明Token无效或者已过期. 流程图如下: 一.用户发起登录请求 二.服务端创建一个加密后的JWT信息,作为Token返回 1.用户登录之后把生成的Token返回给前端 @Authorization @ResponseBody @GetMappin

  • 使用原生js编写一个简单的框选功能方法

    今天我们来聊一下怎么使用原生javascript编写一个简单的框选功能. 需求描述 鼠标左键按下不放,移动鼠标出现矩形选框: 鼠标左键松开,根据上边出现的矩形选框统计选框范围内的DOM元素: 嗯...上边的功能描述看着是挺简单的,但实现起来也还是会有些地方需要斟酌思考的.比如,如果我们的框选范围不是document.body,而是某一个div里边进行框选呢?而现实开发过程中,我们会遇上的应该就是第二种情况. 点击查看完整的源码 怎么实现 二话不说,咱们动手写代码吧!因为更好的兼容性,这里就避免了

随机推荐