带你走进 JSON Web Token

什么是JSON Web Token？

JSON Web Token是一个开放标准（RFC 7519），它定义了一种紧凑且独立的方式，用于在各方之间用JSON对象安全地传输信息。此信息能够经过数字签名进行验证和信任。 JWT可使用加密算法（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。

如下是JSON Web令牌有用的一些场景：

• 受权：这是使用JWT的最多见方案。一旦用户登陆，每一个后续请求将包括JWT，容许用户访问该令牌容许的路由，服务和资源。 Single Sign On是一种如今普遍使用JWT的功能，由于它的开销很小，而且可以在不一样的域中轻松使用。

• 信息交换：JSON Web令牌是在各方之间安全传输信息的好方法。由于JWT能够签名 - 例如，使用公钥/私钥对 - 您能够肯定发件人是他们所说的人。此外，因为使用标头和有效负载计算签名，您还能够验证内容是否未被篡改。

JSON Web令牌结构

JSON Web Tokens由.分隔的三个部分组成，它们是：

• 头
• 有效载荷
• 签名 所以，JWT一般如xxxxx.yyyyy.zzzzz所示.

头

标头一般由两部分组成：令牌的类型，即JWT，以及正在使用的签名算法，例如HMAC SHA256或RSA。

{
  "alg": "HS256",
  "typ": "JWT"
}
复制代码

而后，这个JSON被编码为Base64Url，造成JWT的第一部分。

有效载荷

令牌的第二部分是有效负载，其中包含声明。声明是关于实体（一般是用户）和其余数据的声明。有三种类型:registered、public、private claims.

• registered：这些是一组预约义声明，不是强制性的，但建议使用，以提供一组有用的，可互操做的声明。其中一些是： iss（发行人）， exp（到期时间），sub（主题）， aud（观众）等。
• public：这些能够由使用JWT的人随意定义。但为避免冲突，应在 IANA JSON Web令牌注册表中定义它们，或者将 其定义为包含防冲突命名空间的URI。
• private claims： 这是建立共享使用它们赞成并既不是当事人之间的信息自定义声明注册或公众的权利要求

而后，有效负载通过Base64Url编码，造成JSON Web令牌的第二部分。

请注意，对于签名令牌，此信息虽然能够防止被篡改，但任何人均可以读取。除非加密，不然不要将秘密信息放在JWT的有效负载或头元素中。

签名

要建立签名部分，您必须采用编码标头，编码的有效负载，秘密，标头中指定的算法，并对其进行签名。 例如，若是要使用HMAC SHA256算法，将按如下方式建立签名：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
复制代码

签名用于验证消息在此过程当中未被更改，而且，在使用私钥签名的令牌的状况下，它还能够验证JWT的发件人是不是它所声称的人。

• 结果

输出是三个由点分隔的Base64-URL字符串，能够在HTML和HTTP环境中轻松传递，而与基于XML的标准（如SAML）相比更加紧凑。

//原始
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1NjIxMzQ0MDIsImV4cCI6MTU2MjEzNDQ2Mn0.dzH7ogImjrWX8Qc-arXHFFjgF8YcO_KBi7BCgcmQUGk

//Base64 解码后  
{"alg":"HS256","typ":"JWT"}{"foo":"bar","iat":1562134402,"exp":1562134462}�~耉��e�AϚ�q�8����b��rd

复制代码

使用 jsonwebtoken 登陆

在身份验证中，当用户使用其凭据成功登陆时，将返回JSON Web令牌。因为令牌是凭证，所以必须很是当心以防止出现安全问题。通常状况下，您不该该将令牌保留的时间超过要求。

每当用户想要访问受保护的路由或资源时，用户代理应该使用承载模式发送JWT，一般在Authorization标头中。标题的内容应以下所示：

Authorization: Bearer <token>
复制代码

在某些状况下，这能够是无状态受权机制。服务器的受保护路由将检查Authorization标头中的有效JWT ，若是存在，则容许用户访问受保护资源。若是JWT包含必要的数据，则能够减小查询数据库以进行某些操做的须要，尽管可能并不是老是如此。

若是在标Authorization头中发送令牌，则跨域资源共享（CORS）将不会成为问题，由于它不使用cookie。

请注意，使用签名令牌，令牌中包含的全部信息都会向用户或其余方公开，即便他们没法更改。这意味着您不该该在令牌中放置秘密信息。

node 中使用

jsonwebtoken是json web token的实现

生成JsonWebToken字符串

jwt.sign(payload, secretOrPrivateKey, [options, callback])

• Returns: JsonWebToken字符串
• payload：应该是表示有效JSON的对象文字，缓冲区或字符串。
• secretOrPrivateKey : 是一个字符串，缓冲区或对象，包含HMAC算法的秘密或RSA和ECDSA的PEM编码私钥。若是是带密码的私钥，则可使用对象{key，passphrase}（基于加密文档），在这种状况下，请确保传递算法选项。

var jwt = require('jsonwebtoken');

var token = jwt.sign({ foo: 'bar' }, 'private-key',{ expiresIn: 1 *60 });

复制代码

验证JsonWebToken字符串

jwt.verify(token, secretOrPrivateKey, [options, callback])

• token: JsonWebToken string
• secretOrPrivateKey : 是一个字符串，缓冲区或对象，包含HMAC算法的秘密或RSA和ECDSA的PEM编码私钥。若是是带密码的私钥，则可使用对象{key，passphrase}（基于加密文档），在这种状况下，请确保传递算法选项。

jwt.verify(token, 'private-key', function(err, decoded) {
    console.log('err:',err);
    console.log('decoded:',decoded);
});
复制代码