什么是JWT?
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。该信息可以验证和信任,因为它是经过数字签名的。JWT通常用于身份验证和授权,因为它可以轻松地传递用户身份和角色信息。
JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含JWT使用的算法和令牌类型。载荷包含实际的数据,如用户ID、角色等信息。签名使用头部和载荷以及密钥的组合生成,用于验证令牌是否被篡改。
JWT的优点包括:
- 简单:JWT是一种紧凑的、自包含的方式,易于使用和传输。
- 安全:JWT使用数字签名验证令牌是否被篡改。
- 通用:JWT标准被广泛支持,并可用于多种编程语言和框架中。
JWT的工作原理
JWT的工作原理可以简述如下:
- 用户使用用户名和密码进行身份验证。
- 服务器对用户进行身份验证,并生成JWT。
- JWT被返回给用户,以便将其存储在客户端中。
- 用户将JWT用于后续请求的身份验证和授权。
在JWT中,载荷包含用户信息,例如用户ID和角色,这些信息可以使用标准化的声明,例如“sub”(主题)、“exp”(到期时间)和“iss”(发行人)进行组织。这些声明以键值对的形式出现,并以Base64编码的字符串进行编码。
JWT的签名是使用头部和载荷以及密钥的组合生成的。这个过程可以使用各种加密算法完成,例如HMAC、RSA和ECDSA。签名的目的是确保令牌未被篡改,因此服务器可以信任令牌的内容。
使用Koa2和Passport.js实现JWT
现在,我们将使用Koa2和Passport.js来实现JWT。
1. 创建Koa2应用程序
我们首先需要创建一个Koa2应用程序。在您的终端中,使用以下命令创建一个名为“koa-jwt”的新目录:
mkdir koa-jwt
cd koa-jwt
然后,使用以下命令初始化新的npm项目:
npm init -y
接下来,使用以下命令安装必要的依赖项:
npm i koa koa-router koa-bodyparser koa-passport passport-jwt jsonwebtoken
在安装完依赖项之后,我们可以开始配置Koa2应用程序并实现JWT。
2. 配置Passport.js
我们需要使用Passport.js来验证JWT并保护我们的API路由。我们将使用Passport.js的JWT策略来验证JWT。
在项目文件夹中创建一个名为config的文件夹,并在其中创建一个名为passport.js的文件:
const passportJWT = require('passport-jwt');
const ExtractJwt = passportJWT.ExtractJwt;
const JwtStrategy = passportJWT.Strategy;
const jwtOptions = {
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
secretOrKey: 'your_jwt_secret'
};
module.exports = passport => {
passport.use(
new JwtStrategy(jwtOptions, (jwtPayload, done) => {
// 检查数据库中是否存在用户(为了方便,写死123)
if (jwtPayload.id === 123) {
done(null, { id: 123,role: 'admin'})
} else {
done(null, false);
}
})
);
};
在这个文件中,我们首先导入了passport-jwt和jsonwebtoken模块。然后,我们定义了jwtOptions对象,它包含从请求头中提取JWT的选项和JWT的密钥。我们使用ExtractJwt.fromAuthHeaderAsBearerToken()方法从Bearer Token中提取JWT。
接下来,我们使用Passport.js的JwtStrategy构造函数创建一个新的JWT策略。在策略的回调函数中,我们首先检查JWT有效载荷中的用户ID是否存在于数据库中。如果用户存在,则调用done(null, user)函数。如果用户不存在,则调用done(null, false)函数。
最后,我们使用module.exports导出了一个函数,该函数将Passport.js作为参数并在其中定义了我们的JWT策略。
3. 配置Koa2服务器和中间件
接下来,我们需要配置Koa2服务器和中间件。在项目文件夹中创建一个名为app.js的文件,并将以下代码添加到文件中:
const Koa = require('koa');
const bodyParser = require('koa-bodyparser');
const passport = require('koa-passport');
const jwtConfig = require('./config/passport');
const authRoutes = require('./routes/auth');
const app = new Koa();
app.use(bodyParser());
app.use(passport.initialize());
jwtConfig(passport);
app.use(authRoutes.routes());
app.listen(3000, () => {
console.log('Server listening on port 3000');
});
在这个文件中,我们首先导入了Koa、Koa BodyParser、Passport.js和authRoutes路由。然后,我们创建了一个新的Koa实例,并使用app.use中间件将Body Parser、Passport.js和我们的路由绑定到应用程序中。在jwtConfig函数中,我们将Passport.js作为参数,并配置了JWT策略。
最后,我们使用app.listen方法启动服务器并在端口3000上侦听连接。
4. 创建授权路由
现在我们需要创建一个授权路由,该路由将使用JWT保护我们的API路由。在项目文件夹中创建一个名为routes的文件夹并在其中创建一个名为auth.js的文件:
const Router = require('koa-router');
const jwt = require('jsonwebtoken');
const passport = require('koa-passport');
const router = new Router();
router.post('/login', async (ctx, next) => {
const { username, password } = ctx.request.body;
// 检查用户名和密码是否正确(这里为了方便,写死了username和password)
if (username === 'admin' && password === 'password') {
const payload = { id:123 };
const token = jwt.sign(payload, 'your_jwt_secret');
ctx.body = { token };
} else {
ctx.status = 401;
ctx.body = { error: '用户名或密码无效!' };
}
});
router.get('/protected', passport.authenticate('jwt', { session: false }), async (ctx, next) => {
const user = ctx.state.user;
// 检查用户是否存在
if (!user) {
ctx.status = 401;
ctx.body = { error: '无效token!' };
return;
}
// 检查用户是否有权访问资源
if (user.role !== 'admin') {
ctx.status = 403;
ctx.body = { error: '访问被拒绝!' };
return;
}
ctx.body = { message: '通过!' };
});
module.exports = router;
在这个文件中,我们首先导入了Koa Router、jsonwebtoken和Passport.js。然后,我们创建了一个新的路由,并定义了两个路由处理程序:/login和/protected。
/login用于验证用户名和密码,并生成JWT。如果用户名和密码正确,则我们使用jwt.sign方法生成JWT,并将其返回给客户端。否则,我们返回401错误和错误消息。
/protected中,我们首先使用ctx.state.user来获取JWT策略中传递的用户对象。然后,我们检查用户对象是否存在。如果不存在,则返回401错误和错误消息。这表示JWT验证不通过。
接下来,我们检查用户对象中的角色属性。如果用户角色不是“admin”,则返回403错误和错误消息。这表示用户不允许访问受保护的资源。
最后,如果JWT验证通过并且用户被授权访问受保护的资源,则返回受保护的资源。
5. 测试应用程序
现在,我们已经创建了一个Koa2应用程序,并使用Passport.js实现了JWT验证。让我们使用Postman测试我们的应用程序。
首先,我们需要使用以下JSON数据向/login路由发出POST请求:
{
"username": "admin",
"password": "password"
}
如果用户名和密码正确,则服务器将返回一个JWT,例如:
{
"token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTIzLCJpYXQiOjE2MTc1NjE2MDZ9.CjajG6SXrYJ8gU6_JK_OE92nH9Fk-6ScDjszgCkxKJw"
}
现在,我们可以使用此JWT向/protected路由发出GET请求,并使用Bearer Token将JWT传递给服务器。如果JWT验证通过并且用户被授权访问受保护的资源,则服务器将返回:
{
message: '通过!'
}
如果JWT验证不通过,则服务器将返回:
{
error: '无效token!'
}
如果JWT验证通过但用户没有被授权访问受保护的资源,则服务器将返回:
{
error: '访问被拒绝!'
}
结论
本文详细介绍了JWT的工作原理以及如何使用Koa2和Passport.js实现JWT身份验证。我们通过创建Passport.js JWT策略和授权路由,保护了我们的API路由。如果您需要身份验证和授权解决方案,JWT和Passport.js是非常好的选择。
