1. Componentes do JWT
JWT通常由三部分组成,分别是 Header(头部)、Payload(有效荷载)、Signature(签名)。
三者之间使用英文的“.”分隔,格式如下:
Header.Payload.Signature
2. Os significados das três partes do JWT
JWT的三个组成部分,从前到后分别是 Header、Payload、Signature。
其中:
Payload部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。
Header和Signature是安全性相关的部分,只是为了保证Token的安全性。
3. Como usar o JWT
客户端收到服务器返回的JWT之后,通常会将它储存在localStorage或sessionStorage 中。
此后,客户端每次与服务器通信,都要带上这个WT的字符串,从而进行身份认证。推荐的做法是把JWT放在HTTP请求头的Authorization字段中,格式如下:
Authorization: Bearer <token>
Pontos-chave a serem observados: Ao gerar strings de token, certifique-se de remover senhas e avatares que apresentam riscos de segurança.
1. Execute o seguinte comando para instalar o pacote que gera strings de token:
npm i jsonwebtoken@8.5.1
2. Na área de cabeçalho do módulo que envia o arquivo token js, importe o pacote jsonwebtoken:
const jwt = require('jsonwebtoken')
3. Crie um arquivo config.js e compartilhe a string jwtSecretKey de Tokens criptografados e restaurados
. Após a atualização do jwt em 7 de julho de 2020, o módulo express-jwt instalado será padronizado para a versão 6.0.0, e o jwt atualizado precisa ser na configuração Adicione o atributo de algoritmo, ou seja, defina o algoritmo de jwt. Geralmente, HS256 é o valor padrão para configurar algoritmos:
//我这里版本比较低不用配置algorithms
module.exports = {
jwtSecretKey: 'itheima No1. ^_^',
}
4. Criptografe o objeto de informações do usuário em uma string de token
// 导入配置文件
const config = require('../config')
// 生成 Token 字符串
const tokenStr = jwt.sign(user, config.jwtSecretKey, {
expiresIn: '10h', // token 有效期为 10 个小时
})
5. Responda à string de Token gerada para o cliente
res.send({
status: 0,
message: '登录成功!',
// 为了方便客户端使用 Token,在服务器端直接拼接上 Bearer 的前缀
token: 'Bearer ' + tokenStr,
})
- Configurar middleware para analisar Token
1. Execute o seguinte comando para instalar o middleware para analisar o Token:
npm i express-jwt@5.3.3
2. Antes de registrar a rota no app.js, configure o middleware que analisa o token:
// 导入配置文件
const config = require('./config')
// 解析 token 的中间件
const expressJWT = require('express-jwt')
// 使用 .unless({ path: [/^\/api\//] }) 指定哪些接口不需要进行 Token 的身份认证
app.use(expressJWT({
secret: config.jwtSecretKey }).unless({
path: [/^\/api\//] }))
3. No middleware de nível de erro em app.js, capture e processe o erro após a falha da autenticação de token
// 错误中间件
app.use(function (err, req, res, next) {
// 省略其它代码...
// 捕获身份认证失败的错误
if (err.name === 'UnauthorizedError') return res.cc('身份认证失败!')
// 未知错误...
})
Dessa forma, você configurou com êxito o token e a interceptação de verificação de token.
Se a autenticação for bem sucedida na solicitação, você pode usar req.user para obter as informações do usuário encapsuladas no token *