什么是jwt?
jwt是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開(kāi)放標(biāo)準(zhǔn), 主要有三部分組成:Header.Payload.Signature
-
Header標(biāo)頭通常由兩部分組成:令牌的類(lèi)型栏笆,即JWT戴而,以及正在使用的簽名算法(例如HMAC SHA256或RSA)
// 這個(gè)JSON被編碼為Base64Url劲厌,形成JWT的第一部分
{
"alg": "HS256",
"typ": "JWT"
}
-
Payload令牌的第二部分是有效負(fù)載捐康,其中包含聲明。聲明是關(guān)于實(shí)體(通常是用戶(hù))和其他數(shù)據(jù)的聲明
// 這個(gè)JSON被編碼為Base64Url尚胞,形成JWT的第二部分
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
-
Signature要?jiǎng)?chuàng)建簽名部分签钩,您必須采用編碼標(biāo)頭掏呼,編碼的有效負(fù)載,秘鑰铅檩,標(biāo)頭中指定的算法憎夷,并對(duì)其進(jìn)行簽名
// 以HMAC SHA256算法為例
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
koa-jwt的工作流程
- 用戶(hù)通過(guò)登錄Api獲取當(dāng)前用戶(hù)在有效期內(nèi)的token
- 需要身份驗(yàn)證的API則都需要攜帶此前認(rèn)證過(guò)的token發(fā)送至服務(wù)端
-
koa2會(huì)利用koa-jwt中間件的默認(rèn)驗(yàn)證方式進(jìn)行身份驗(yàn)證,中間件會(huì)進(jìn)行驗(yàn)證成功和驗(yàn)證失敗的分流昧旨。
koa-jwt的驗(yàn)證方式
- 請(qǐng)求頭中設(shè)置 authorization為Bearer + token拾给,
Bearer后有空格,check the Authorization header for a bearer token
// koa-jwt的默認(rèn)驗(yàn)證方式:
{'authorization': "Bearer " + token}
- 自定義getToken方法
opts.getToken function - 利用Cookie(此cookie非彼cookie)此處的Cookie只作為存儲(chǔ)介質(zhì)發(fā)給服務(wù)端的區(qū)域兔沃,校驗(yàn)并不依賴(lài)于服務(wù)端的session機(jī)制蒋得,服務(wù)端不會(huì)進(jìn)行任何狀態(tài)的保存。
check the cookies (if opts.cookie is set)
koa-jwt搭配jsonwebtoken的簡(jiǎn)單使用
- 安裝依賴(lài)
npm install jsonwebtoken koa-jwt --save
- 中間件 請(qǐng)求驗(yàn)證token
// 中間件對(duì)token進(jìn)行驗(yàn)證
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
- 排除不驗(yàn)證的請(qǐng)求
const SECRET = 'shared-secret'; // demo乒疏,可更換
app.use(koajwt({ secret: SECRET, passthrough: true }).unless({
// 登錄额衙,注冊(cè)接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
- 登陸簽發(fā)token
// 示例
const USER = {
username:'zhangsan',
password:'123456',
id: 100
}
// 登錄接口簽發(fā)token, 為了簡(jiǎn)便不使用router
app.use(async (ctx, next) => {
if(ctx.path === '/api/login' && ctx.method === 'POST'){
// 登錄
// 判斷用戶(hù)名密碼是否匹配,為簡(jiǎn)單起見(jiàn),直接使用常量
let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
if (checkUser) {
let userToken = {name: USER.username, id: USER.id};
ctx.body = {
code: 200,
msg: '登錄成功',
token: jsonwebtoken.sign(
userToken, // 加密userToken, 等同于上面解密的userToken
SECRET,
{expiresIn: '1h'} // 有效時(shí)長(zhǎng)1小時(shí)
)
}
}else{
// 登錄失敗, 用戶(hù)名密碼不正確
ctx.body = {
code: 400,
msg: '用戶(hù)名密碼不匹配'
}
}
}else if (ctx.path=== '/api/user' && ctx.method === 'GET') {
// 獲取用戶(hù)信息, 這個(gè)api需要token驗(yàn)證
// 中間件統(tǒng)一驗(yàn)證token
ctx.body = {
code: 200,
data: USER,
msg: '請(qǐng)求成功'
}
}
})
- 接口測(cè)試
-
登錄接口
登錄 -
獲取用戶(hù)信息接口
未傳驗(yàn)證
加驗(yàn)證
完整源碼
const koa = require('koa');
const koajwt = require('koa-jwt');
const jsonwebtoken = require('jsonwebtoken');
const util = require('util');
const koabody = require('koa-body');
const app = new koa();
const SECRET = 'shared-secret'; // demo入偷,可更換
app.use(koabody());
// 中間件對(duì)token進(jìn)行驗(yàn)證
app.use(async (ctx, next) => {
// let token = ctx.header.authorization;
// let payload = await util.promisify(jsonwebtoken.verify)(token.split(' ')[1], SECRET);
return next().catch((err) => {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
// 示例
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
// 登錄接口簽發(fā)token, 為了簡(jiǎn)便不使用router
app.use(async (ctx, next) => {
if (ctx.path === '/api/login' && ctx.method === 'POST') {
// 登錄
// 判斷用戶(hù)名密碼是否匹配
let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
if (checkUser) {
ctx.body = {
code: 200,
msg: '登錄成功',
token: jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
}
} else {
// 登錄失敗, 用戶(hù)名密碼不正確
ctx.body = {
code: 400,
msg: '用戶(hù)名密碼不匹配'
}
}
} else if (ctx.path === '/api/user' && ctx.method === 'GET') {
// 獲取用戶(hù)信息
// 中間件統(tǒng)一驗(yàn)證token
ctx.body = {
code: 200,
data: USER,
msg: '請(qǐng)求成功'
}
}
})
app.listen(3000);
