JWT(JSON WEB TOKEN)学习笔记

常规用户认证需求

用户先通过账号密码登录获取授权后，再获取用户详情信息

对比传统Session和JWT实现该需求的差异

传统Session

流程：

1. 客户端使用账号密码来请求服务端
2. 服务端对账号密码进行校验
3. 服务端创建一个Session，并将用户登录状态、用户id、有效时间等写到session中
4. 服务端将session保存到内存中
5. 服务端将session同步给其他集群节点
6. 客户端每次请求会带上sessionId，服务端根据sessionId找到对应session，判断session是否处于登录状态并取出用户id
7. 从session中获取用户id，再根据用户id到数据获取用户信息
8. 返回用户信息

总结：

1. 通常session都是保存在内存中，随着认证用户量的增长服务端的开销会明显增大。
2. 在分布式架构中，用户在节点_1登录后需要将session信息同步给其他节点，或者保证同一个用户总是路由到同一个节点上，否则用户登录状态会失效

JWT（JSON WEB TOKEN）

流程：

1. 客户端使用账号密码来请求服务端
2. 服务端对账号密码进行校验
3. 服务端生成jwt信息，并将用户id写到jwt的payload中
4. 服务端将jwt信息返回给客户端
5. 客户端发送获取用户信息请求并在header中带上jwt信息
6. 服务端验证jwt的有效性并从中取出用户id，再根据用户id到数据从查询用户信息并返回给客户端

总结：

1. 使用JWT，服务端不用在内存中保存任何信息，在分布式架构中也不存在同步session的过程

JWT详解

组成

JWT由三个部分组成分别是header、payload、signature用.连接，如：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba

header：

{
    "typ": "JWT",
    "alg": "HS256"
}

typ: 类型，alg: 加密算法

将上面的json内容Base64之后就形成了JWT的第一部分eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload：

{
    "id": 1,
    "username": "admin"
}

这部分为用户自定义内容（不要存放敏感信息）

将上面的json内容Base64之后就形成了JWT的第二部分eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9

signature：

第三部分为第一部分和第二部分的签名

let headerBase64 = new Buffer(JSON.stringify(header)).toString('base64');
let payloadBase64 = new Buffer(JSON.stringify(payload)).toString('base64');
let sha256 = crypto.createHmac('sha256', 'your salt');
sha256.update(headerBase64 + '.' + payloadBase64);
let sign = sha256.digest('hex');
let finalJwtString = headerBase64 + '.' + payloadBase64 + '.' + sign;

最终形成：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba

栗子

授权请求

curl --request POST http://www.video4.cn:3030/session -H "Content-Type:application/json" -d '{"username":"admin","password":"123"}'

返回：

{
    "code": 0,
    "msg": "ok",
    "data": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba"
}

获取具体信息

curl --request GET http://www.video4.cn:3030/api/projects/2 -H "Authorization:Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9.d1bf66192c1bff9038bcd212ba05dfde55c40d4e2254dd99c9c7653dd27c39ba"

返回：

{
    "code": 0,
    "msg": "ok",
    "user": {
        "id": 1,
        "username": "admin"
    },
    "data": {
        "id": 2,
        "name": "project two",
        "price": 99.99
    }
}

当您看到本文章时测试服务可能已失效，可以自行搭建测试服务。

测试Demo源码

地址：

https://github.com/hellsam/JWT_Demo

说明：

该Demo是基于koa框架模拟实现了JWT的基础功能，如需在项目中使用建议使用现成的第三方库，如：jsonwebtoken