瞭解如何使用JSON Web令牌（JWT）實現訪問授權驗證

“ JSON Web Token （JWT）是一種緊湊的 URL安全 方式，用來表示在不同部分之間進行傳輸的宣告，它可被編碼 為 JSON物件 ， 使用JJSON Web Signature （JWS）進行數字 簽名 .“ 

要識別/驗證應用程式中的人員身份，需要在頁面（或API端點）的標頭Header或網址中放置基於標準的令牌，以證明該使用者已登入並允許其訪問所需內容。
例： https://www.yoursite.com/private-content/?token=eyJ0eXAiOiJKV1Qi.eyJrZXkiOi.eUiabuiKv

JWT是一串“url safe”字元，用於編碼資訊，令牌有三個元件（以句點分隔）（此處顯示為多行以便於閱讀，但用作單個文字字串）

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9           // header
.eyJrZXkiOiJ2YWwiLCJpYXQiOjE0MjI2MDU0NDV9      // payload
.eUiabuiKv-8PYk2AkGY4Fb5KMZeorYBLw261JPQD5lM   // signature

什麼是“宣告”？
宣告是預定義的鍵及其值：

• iss：令牌的發行者
• exp：到期時間戳（拒絕已過期的令牌）。注意：如規範中所定義，這必須以秒為單位。
• iat：JWT釋出的時間。可用於確定JWT的年齡
• nbf：“not before”是令牌變為活動狀態的未來時間。
• jti：JWT的唯一識別符號。用於防止JWT被重複使用或重放。
• sub：令牌的主題（很少使用）
• aud：令牌的受眾（也很少使用）

案例
一個簡單的例子。（完整原始碼位於/ example目錄中）：

https://jwt.herokuapp.com/

該伺服器架構使用node.js http伺服器，我們在/example/server.js中建立了4個端點：

1. / home：主頁（不是必需的，但我們的登入表單是。）
2. / auth：驗證訪問者（如果失敗則返回錯誤+登入表單）
3. / private：我們的受限內容 - 需要登入（有效會話令牌）才能看到此頁面
4. / logout：使令牌無效並登出使用者（防止重新使用舊令牌）

• 可讀性
• 可維護性
• 可測試性（所有輔助/處理程式方法單獨測試）

幫助方法：
所有輔助方法都儲存在/example/lib/helpers.js中 。兩個最有趣/相關的方法是（這裡顯示的簡化版本）：

// generate the JWT
function generateToken(req){
  var token = jwt.sign({
    auth:  'magic',
    agent: req.headers['user-agent'],
    exp:   Math.floor(new Date().getTime()/1000) + 7*24*60*60; // Note: in seconds!
  }, secret);  // secret is defined in the environment variable JWT_SECRET
  return token;
}

// validate the token supplied in request header
function validate(req, res) {
  var token = req.headers.authorization;
  try {
    var decoded = jwt.verify(token, secret);
  } catch (e) {
    return authFail(res);
  }
  if(!decoded || decoded.auth !== 'magic') {
    return authFail(res);
  } else {
    return privado(res, token);
  }
}

問題
問：如果我把JWT放在URL或Header中它是否安全？
不安全。除非你使用SSL / TLS來加密連線，明確地傳送令牌始將是不安全的（令牌可以被截獲並重新使用）。一個天真的 “ 緩解 ”方式是向令牌新增可驗證的 “宣告”，例如檢查請求是否來自相同的瀏覽器（使用者代理）， IP地址或更高階的“ 瀏覽器指紋 ” http://programmers.stackexchange.com/a/122385
解決的辦法是下面任一個：

• 使用一次性令牌（在點選連結後就過期失效）
• 不要使用需要高度安全性的url-tokens。（例如：不要向某人傳送允許他們執行交易的連結）

• 帳戶驗證 - 當您在網站上註冊後透過電子郵件向其傳送連結時。 https://yoursite.co/account/verify?token=jwt.goes.here
• 密碼重置 - 確保重新設定密碼的人員可以訪問屬於該帳戶的電子郵件。 https://yoursite.co/account/reset-password?token=jwt.goes.here

"GUID" : {
  "auth" : "true",
  "created" : "timestamp",
  "uid" : "1234"
}

var db = require('level');
db.get(GUID, function(err, record){
  // pseudo-code
  if(record.auth){
    // display private content
  } else {
    // show error message
  }
});

localStorage 提供了一種更好的機制，用於在瀏覽器會話期間和之間儲存令牌。

1.基於瀏覽器的應用程式
儲存JWT有兩種選擇：

1. 使用localStorage在客戶端儲存JWT（意味著您需要記住在authorization標題中傳送JWT以用於後續的http / ajax請求）
2. 將您的JWT儲存在cookie中（設定並忘記）

如何生成金鑰？
由於JSON網路令牌（JWT）不使用非對稱加密簽名，你不能使用ssh-keygen生成使用金鑰，您可以輕鬆使用強密碼，例如： https://www.grc.com/passwords.htm。只要它很長且隨機。碰撞的可能性（因此有人能夠解碼您編碼的JSON）非常低。如果你將兩個強密碼（字串）連線在一起，你將擁有一個128位的ASCII字串。因此，碰撞的可能性小於宇宙中[url=http://en.wikipedia.org/wiki/Observable_universeMatter_content_.E2.80.94_number_of_atoms]的原子數[/url]。

要使用Node的加密庫快速輕鬆地建立金鑰，請執行此命令。

node -e "console.log(require('crypto').randomBytes(32).toString('hex'));"

換句話說，您可以使用RSA金鑰，但你並不需要。
您需要記住的主要事項是：不要與不在核心的人（“ DevOps團隊 ”）共享金鑰，或者在提交給GitHub時突然釋出金鑰！