Node JWT/jsonwebtoken 使用与原理分析

96
梁同桌
0.2 2017.04.06 21:16* 字数 301

JWT 是一个方便的一种实现服务器与客服端安全通讯的一种规范方案,当然基于 JWT 的概念自
己可以实现安全的加密方案,另外也可以重复造一些轮子。

1.安装

$ npm install jsonwebtoken --save

2.我们先来看加密与解密方法:

const jwt = require('jsonwebtoken');
const secret = 'aaa'; //撒盐:加密的时候混淆

   //jwt生成token
 const token = jwt.sign({
     name: 123
  }, secret, {
     expiresIn:  60 //秒到期时间
  });
console.log(token);
//解密token
jwt.verify(token, secret, function (err, decoded) {
    if (!err){
          console.log(decoded.name);  //会输出123,如果过了60秒,则有错误。
     }
})

我们看看jwt.sign 生成的token:
【eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ.hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU】

我们仔细看这字符串,分为三段。分别被 "." 隔开。
我们对:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 由 base64 解密得到
{"alg":"HS256","typ":"JWT"} alg 是加密算法名字,typ 是类型

这段: eyJuYW1lIjoxMjMsImlhdCI6MTQ5MTQ3NTQyNCwiZXhwIjoxNDkxNDc1NDg0fQ 由base64解密得到: {"name":123,"iat":1491475424,"exp":1491475484} name 是我们储存的内容,但是多了 iat(创建的时间戳),exp(到期时间戳)。

最后一段是hYNC4qFAyhZClmPaLixfN137d41R2CFk1xPlfLK10JU,是由前面俩段字符串
HS256 加密后得到。 所以前面的任何一个字段修改,都会导致加密后的字符串不匹配。

我们只有在登陆的时候下发 token,浏览器在 cookie 里存储 token 任何人修改,都会导致服务器匹配不上。

个人博客: http://www.liangtongzhuo.com

node.js
Web note ad 1