JWT是URL-safe的,可以用来查询字符参数
JWT分成三部分,每部分之间用.隔开。
header.payload.signature
{
JWT的第一部分是对一个简单js对象的编码后的字符串,这个对象是用来描述这个token类型以及使用的hash算法。如下面的一个例子就是实用了HMAC SHA-256算法的JWT token
{
"typ": "JWT",
"alg": "HS256"
}
在加密之后,这个对象变成了一个字符串
eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9
}
{
JWT的第二部分是token的核心,这部分同样是对一个js对象的编码,包含了一些摘要信息,有一些是必须的,有一些是选择性的。
{
"iss": "joe",
"exp": 1300819380,
"http://example.com/is_root: true
}
这个结构被称为JWT Claims Set。这个iss是issuer的简写,表明请求的实体,可以是发出请求的用户信息。exp是expires的简写,是用来制定token的生命周期。加密编码后如下:
eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ
}
{
JWT的第三个部分,是JWT根据第一部分和第二部分的签名(Signature)。如下所示
dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk
}
最后将上面的合并起来,JWT token如下所示
eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ.dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk
<< 获取token >>
我们需要做的第一件事就是让客户端通过她们的账号密码交换token。在RESTful API里面有两种可能的方法。第一种是使用POST请求来通过验证码,使服务端发送带有token的响应。除此之外,你可以使用GET请求,这需要使用参数提供凭证(URL),或者更好的使用请求头。
假设我们已经通过请求得到了用户名和密码。
如果用户成功验证账号和密码,就可以在服务端生成一个token,返回给用户。
var expires = moment().add('days',7).valueOf();
var token = jwt.encode({
iss: user.id,
exp: expires
}, app.get('jwtTokenSecret'));
res.json({
token: token,
expires: expires,
user: user.toJSON()
})
jwt.encode()有两个参数,第一个就是需要加密的对象,第二个是一个加密的秘钥。这个token是由iss和exp组成的。res.json()方法用爱传递这个JSON对象给客户端。
<< 验证token >>
客户端获取到token后,应该在每次向服务器请求数据时带上这个token,然后服务端验证token。
为了验证JWT,我们需要写出一些可以完成这些功能的中间件:
---检查附上的token
---试图揭秘
---验证token的可用性
---如果token是合法的,检索里面用户的信息,以及附到请求的对象上
有三个方法附带token:
1.作为请求链接(query)的参数
2.作为主体的参数(body)
3.作为请求头(header)的参数
对于最后一个,我们将使用Header x-access-token
以下是允许在中间件的代码,试图检索token
var token = (req.body && req.body.access_token) || (req.query && req.query.access_token) || req.headers['x-access-token'];
由于访问了req.body,因此我们需要express的bodyParse()中间件
下一步,解析JWT:
if(token){
try{
var decoded = jwt.decode(token, app.get('jstTokenSecret'));
///handle token here
}catch(err){
return next()
}
}else{
next()
}
如果一个合格的token合法而且被解析,应该得到两个属性,iss包含着用户的ID以及exp包含token过期的时间戳。首先处理后者,如果过期了,就拒绝掉。
if (decoded.exp <= Date.now()) {
res.end('Access token has expired', 400);
}
如果token合法,可以从中检索出用户信息,并且附加到请求对象里面去
User.findOne({ _id: decoded.iss }, function(err, user) {
req.user = user;
});
最后,将这个中间件附加到路由里面去:
var jwtauth = require('./jwtauth.js');
app.get('/something', [express.bodyParse(), jwtauth], function(req, res){
//do something
})
<< 客户端请求 >>
我们提供了一个简单的get端去获得一个远端的token。这非常直接了,所以我们不用纠结细节,就是发起一个请求,传递用户名和密码,如果请求成功了,我们就会得到一个包含着token的响应。
比如,假设我们将我们的请求使用window.localStorage.setItem('token', 'the-long-access-token');放在本地存储(local storage)里面,我们可以通过这种方法将token附加到请求头里面
var token = window.localStorage.setItem('token');
if(token){
$.ajaxSetUp({
headers:{
'x-access-token': token
}
})
}
当用户之前从没有登录一个网站时候,但是网站需要登录才能浏览其中的内容,此时浏览器返回401,代表着需要登录才能浏览。一旦用户输入了用户名以及密码,浏览器就会重复原来的请求。这次它会添加一个Authorization首部,说明用户名和密码。对用户名和密码进行加密
现在,服务器已经知道用户的身份了
今后的请求要使用用户名和密码时,浏览器会自动将存储下来的值发送出去,甚
至在站点没有要求发送的时候也经常会向其发送。浏览器在每次请求中都向服务 器发送 Authorization 首部作为一种身份的标识,这样,只要登录一次,就可 以在整个会话期间维持用户的身份了。