JWT - Json Web Token

什么是jwt

JWT 英文名是 Json Web Token ，是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范，经常用在跨域身份验证。
JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名，因此所传递的信息是安全的。

用户认证成功后，server端返回一个加密的token给客户端。后续客户端每次请求都会携带这个token，表明当前用户身份。

koa2实现jwt

创建koa项目：koa2 -e blog-koa
安装koa-jwt插件: npm i koa-jwt -S
安装加密工具: npm i jsonwebtoken -S

编辑入口：./src/app.js

// ...
// 引入jwt
const koaJwt = require('koa-jwt')
// 引入视图路由
const errorViewRouter = require('./routes/view/error')
const index = require('./routes/index')
const users = require('./routes/users')
// jwt配置，每次都会检测客户端是否携带了token(需配置在路由之前)，否则返回401
app.use(koaJwt({
    secret: 'this-is-a-secret', // 密钥(自定义)
}).unless({
    path: [/^\/users\/login/] // 定义忽略jwt验证的目录
}))
// ...

编辑路由：./src/routes/users.js

const router = require('koa-router')()
const jwt = require('jsonwebtoken')
const util = require('util')
const verify = util.promisify(jwt.verify)

router.prefix('/users')

router.get('/', function (ctx, next) {
    ctx.body = 'this is a users response!'
})

// 模拟登录
router.post('/login', async function (ctx, next) {
    const { userName, password } = ctx.request.body
    let userInfo = null
    if( userName === 'yat' && password === '123456') {
        userInfo = { id: 123, userName: 'yat', nickName: '李四' }
    }
    if( !userInfo ) {
        // 登陆失败
        ctx.body = {code: -1, msg: '用户不存在，登录失败', data: null}
    } else {
        // 登陆成功, 加密token
        let token = jwt.sign(userInfo, 'this-is-a-secret', {
            expiresIn: '1h', // 过期时间：1个小时
        })
        ctx.body = {code: 0, msg: 'ok', data: {...userInfo, token}}
    }
})

// 获取用户信息
router.get('/userinfo', async function (ctx, next) {
    let token = ctx.header.authorization
    try {
        const payload = await verify(token.split(' ')[1], 'this-is-a-secret')
        ctx.body = {code: 0, msg: 'ok', data: payload}
    } catch (error) {
        ctx.body = {code: -1, msg: '获取用户信息失败', data: null}
    }
})
module.exports = router

Postman验证接口

验证被拦截的路由：http://localhost:3000/users，请求被拦截，返回401。

请求被拦截了

请求登录接口：http://localhost:3000/users/login

请求登录接口，获取服务端传过来的token

请求获取用户信息接口：http://localhost:3000/users/userinfo
请求头信息"Authorization": "Bearer eyJhbG...."

通过解析头信息token获取用户信息

jwt vs session

• 解决了登录 & 获取用户信息的问题
• 用户信息加密和存储都在客户端，不依赖cookie，可以跨域
• session用户信息存储在服务端，以来cookie，不可跨域
• 一般情况，两者都能满足。大型系统两者可共用。
• jwt更加适用于服务节点多、跨域多的情况。无法严格控制用户登陆状态，不需要redis等存储工具，操作简单。
• session更加适用于统一的web服务，server需要严格管理用户信息和登陆状态的情况。