跳转到内容

JavaScript JWT令牌

来自代码酷

JavaScript JWT令牌[编辑 | 编辑源代码]

介绍[编辑 | 编辑源代码]

JSON Web Token(JWT) 是一种开放标准(RFC 7519),用于在网络应用间安全地传输信息。它以紧凑的JSON对象形式表示,通常用于身份验证(Authentication)和授权(Authorization)。JWT由三部分组成:头部(Header)载荷(Payload)签名(Signature),通过点(.)分隔。

JWT的主要特点包括:

  • 自包含:令牌本身包含用户信息和元数据,无需频繁查询数据库。
  • 可验证:通过签名确保数据未被篡改。
  • 跨语言支持:几乎所有编程语言都有JWT实现库。

JWT结构[编辑 | 编辑源代码]

JWT的格式为:Header.Payload.Signature,每部分均为Base64Url编码的JSON字符串。

头部(Header)[编辑 | 编辑源代码]

包含令牌类型(如JWT)和签名算法(如HMAC SHA256或RSA)。示例: 

  
{
  "alg": "HS256",
  "typ": "JWT"
}

载荷(Payload)[编辑 | 编辑源代码]

包含声明(Claims),即用户数据和其他元信息。常见声明包括:

  • iss(Issuer):令牌签发者。
  • exp(Expiration Time):过期时间戳。
  • sub(Subject):令牌主题(如用户ID)。

示例: 

  
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

签名(Signature)[编辑 | 编辑源代码]

通过密钥对头部和载荷签名,确保数据完整性。例如,使用HMAC SHA256算法的签名生成方式为: 解析失败 (语法错误): {\displaystyle \text{Signature} = \text{HMACSHA256}(\text{Base64UrlEncode(Header)} + "." + \text{Base64UrlEncode(Payload)}, \text{secret}) }

代码示例[编辑 | 编辑源代码]

以下是使用JavaScript生成和验证JWT的示例(需安装jsonwebtoken库):

生成JWT[编辑 | 编辑源代码]

  
const jwt = require('jsonwebtoken');  
const secret = 'your-secret-key';  

const payload = {  
  userId: 123,  
  role: 'admin'  
};  

const token = jwt.sign(payload, secret, { expiresIn: '1h' });  
console.log('Generated JWT:', token);

输出示例eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjEyMywicm9sZSI6ImFkbWluIiwiaWF0IjoxNjI5MzQwNzIyLCJleHAiOjE2MjkzNDQzMjJ9.7QmZvLz1Jy3X6XQ2X2qXQ2X2qXQ2X2qXQ2X2qXQ2X2qXQ

验证JWT[编辑 | 编辑源代码]

  
try {  
  const decoded = jwt.verify(token, secret);  
  console.log('Decoded JWT:', decoded);  
} catch (err) {  
  console.error('Invalid token:', err.message);  
}

输出示例(成功时): 

  
{  
  "userId": 123,  
  "role": "admin",  
  "iat": 1629340722,  
  "exp": 1629344322  
}

实际应用场景[编辑 | 编辑源代码]

1. 用户认证:用户登录后,服务器返回JWT,客户端后续请求携带此令牌。 2. API授权:微服务间通过JWT验证调用权限。 3. 单点登录(SSO):多个系统共享同一令牌实现无缝登录。

流程图示例[编辑 | 编辑源代码]

ClientServer发送用户名/密码返回JWT携带JWT的API请求验证JWT返回数据或错误ClientServer

安全注意事项[编辑 | 编辑源代码]

  • 密钥管理:使用强密钥并定期更换,避免硬编码在代码中。
  • 过期时间:设置合理的exp声明,减少令牌泄露风险。
  • HTTPS:始终通过加密通道传输JWT,防止中间人攻击。
  • 存储方式:浏览器端建议使用HttpOnly的Cookie而非LocalStorage。

常见问题[编辑 | 编辑源代码]

Q: JWT与Session有何区别? A: Session依赖服务器存储状态,而JWT是无状态的,更适合分布式系统。

Q: JWT如何防止篡改? A: 签名机制确保任何对头部或载荷的修改都会导致验证失败。

总结[编辑 | 编辑源代码]

JWT是现代Web开发中身份验证的核心技术之一。通过理解其结构、生成/验证方法及安全实践,开发者可以构建更安全的应用程序。

检索自“https://wiki.echo.cool/index.php?title=JavaScript_JWT令牌&oldid=3085