JWT 是一個方便的一種實現伺服器與客服端安全通訊的一種規範方案,當然基於 JWT 的概念自 己可以實現安全的加密方案,另外也可以重複造一些輪子。
1.安裝
$ npm install jsonwebtoken --save
複製程式碼
2.我們先來看加密與解密方法:
const jwt = require('jsonwebtoken');
const secret = 'aaa'; //撒鹽:加密的時候混淆
//jwt生成token
const token = jwt.sign({
name: 123
}, secret, {
expiresIn: 60 //秒到期時間
});
console.log(token);
//解密token
jwt.verify(token, secret, function (err, decoded) {
if (!err){
console.log(decoded.name); //會輸出123,如果過了60秒,則有錯誤。
}
})
複製程式碼
我們看看jwt.sign 生成的token: 【eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU】
我們仔細看這字串,分為三段。分別被 "." 隔開。 我們對:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 由 base64 解密得到 {"alg":"HS256","typ":"JWT"} alg 是加密演算法名字,typ 是型別
這段: eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ 由base64解密得到: {"name":123,"iat":1491475424,"exp":1491475484} name 是我們儲存的內容,但是多了 iat(建立的時間戳),exp(到期時間戳)。
最後一段是hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU,是由前面倆段字串 HS256 加密後得到。 所以前面的任何一個欄位修改,都會導致加密後的字串不匹配。
我們只有在登陸的時候下發 token,瀏覽器在 cookie 裡儲存 token 任何人修改,都會導致伺服器匹配不上。
個人部落格: http://www.liangtongzhuo.com