JWT(JSON WEB TOKEN)学习笔记

2017-08-15  本文已影响902人  hellsam

常规用户认证需求

用户先通过账号密码登录获取授权后,再获取用户详情信息

对比传统Session和JWT实现该需求的差异

传统Session

流程:

  1. 客户端使用账号密码来请求服务端
  2. 服务端对账号密码进行校验
  3. 服务端创建一个Session,并将用户登录状态、用户id、有效时间等写到session中
  4. 服务端将session保存到内存中
  5. 服务端将session同步给其他集群节点
  6. 客户端每次请求会带上sessionId,服务端根据sessionId找到对应session,判断session是否处于登录状态并取出用户id
  7. 从session中获取用户id,再根据用户id到数据获取用户信息
  8. 返回用户信息

总结:

  1. 通常session都是保存在内存中,随着认证用户量的增长服务端的开销会明显增大。
  2. 在分布式架构中,用户在节点_1登录后需要将session信息同步给其他节点,或者保证同一个用户总是路由到同一个节点上,否则用户登录状态会失效

JWT(JSON WEB TOKEN)

流程:

  1. 客户端使用账号密码来请求服务端
  2. 服务端对账号密码进行校验
  3. 服务端生成jwt信息,并将用户id写到jwt的payload中
  4. 服务端将jwt信息返回给客户端
  5. 客户端发送获取用户信息请求并在header中带上jwt信息
  6. 服务端验证jwt的有效性并从中取出用户id,再根据用户id到数据从查询用户信息并返回给客户端

总结:

  1. 使用JWT,服务端不用在内存中保存任何信息,在分布式架构中也不存在同步session的过程

JWT详解

组成

JWT由三个部分组成分别是header、payload、signature用.连接,如:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba

header:

{
    "typ": "JWT",
    "alg": "HS256"
}

typ: 类型,alg: 加密算法

将上面的json内容Base64之后就形成了JWT的第一部分eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload:

{
    "id": 1,
    "username": "admin"
}

这部分为用户自定义内容(不要存放敏感信息)

将上面的json内容Base64之后就形成了JWT的第二部分eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9

signature:

第三部分为第一部分和第二部分的签名

let headerBase64 = new Buffer(JSON.stringify(header)).toString('base64');
let payloadBase64 = new Buffer(JSON.stringify(payload)).toString('base64');
let sha256 = crypto.createHmac('sha256', 'your salt');
sha256.update(headerBase64 + '.' + payloadBase64);
let sign = sha256.digest('hex');
let finalJwtString = headerBase64 + '.' + payloadBase64 + '.' + sign;

最终形成:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba

栗子

授权请求

curl --request POST http://www.video4.cn:3030/session -H "Content-Type:application/json" -d '{"username":"admin","password":"123"}'

返回:

{
    "code": 0,
    "msg": "ok",
    "data": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba"
}

获取具体信息

curl --request GET http://www.video4.cn:3030/api/projects/2 -H "Authorization:Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba"

返回:

{
    "code": 0,
    "msg": "ok",
    "user": {
        "id": 1,
        "username": "admin"
    },
    "data": {
        "id": 2,
        "name": "project two",
        "price": 99.99
    }
}

当您看到本文章时测试服务可能已失效,可以自行搭建测试服务。

测试Demo源码

地址:

https://github.com/hellsam/JWT_Demo

说明:

该Demo是基于koa框架模拟实现了JWT的基础功能,如需在项目中使用建议使用现成的第三方库,如:jsonwebtoken

上一篇下一篇

猜你喜欢

热点阅读