2. 程式人生 > >json web token for Egg.js 實踐

json web token for Egg.js 實踐

阿新 發佈:2018-11-30

認識json web token

根據維基百科的定義,JSON WEB TokenJWT,讀作 [/dʒɒt/]),是一種基於JSON的、用於在網路上宣告某種主張的令牌(token)。JWT通常由三部分組成: 頭資訊(header), 訊息體(payload)和簽名(signature)。

頭資訊指定了該JWT使用的簽名演算法:

header = '{"alg":"HS256","typ":"JWT"}'
複製程式碼

訊息體包含了JWT的意圖:

payload = '{"loggedInAs":"admin","iat":1422779638}'
複製程式碼

簽名則通過私有的key計算而成:

key = 'secretkey'  
unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload)  
signature = HMAC-SHA256(key, unsignedToken) 
複製程式碼

最後在未簽名的令牌尾部拼接上base64url編碼的簽名(同樣使用"."分隔)就是JWT了:

token = encodeBase64(header) + '.' + encodeBase64(payload) + '.' + encodeBase64(signature) 
複製程式碼

Egg.js jwt實踐

1.安裝egg-jwt外掛

npm install egg-jwt --save
複製程式碼

2.啟用egg-jwt外掛

// {app_root}/config/plugin.js
exports.jwt = {
  enable: true,
  package: "egg-jwt"
};
複製程式碼

3.配置jwt 私有key

// {app_root}/config/config.default.js
exports.jwt = {
  secret: "123456" //自己設定的值
};
複製程式碼

4.設定路由

// {app_root}/app/router.js      
  router.get('/'
 
, controller.home.index);
  router.post('/user',app.jwt,controller.home.user);
  router.get('/login',controller.home.login);
複製程式碼

5.Login方法

onst user = ctx.request.body
    if(user && user.name) {
        let userToken = {
            name: user.name
        }
        const token = app.jwt.sign(userToken, secret, {expiresIn: '1h'})  //token簽名 有效期為1小時
        ctx.body = {
            message: '獲取token成功',
            code: 1,
            token
        }
    } else {
        ctx.body = {
            message: '引數錯誤',
            code: -1
        }
    }
	  }
複製程式碼

6.User方法

 const token = ctx.header.authorization  // 獲取jwt
    let payload
    if (token) {
        payload = await app.jwt.verify(token.split(' ')[1], secret)  // // 解密,獲取payload
        ctx.body = {
            payload
        }
    } else {
        ctx.body = {
            message: 'token 錯誤',
            code: -1
        }
    }
複製程式碼

7.通過curl模擬請求

curl http://127.0.0.1:7001/user
//返回Authentication Erro  //驗證錯誤,說明我們的jwt已經生效
複製程式碼

訪問 http://127.0.0.1:7001/login 帶上引數name

curl -d "name=tiptoe" http://127.0.0.1:7001/api/login
//返回結果{"message":"獲取token成功","code":1,"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoidGlwdG9lIiwiaWF0IjoxNDk2Mzg4NzgwLCJleHAiOjE0OTYzOTIzODB9.N2e-84Pmf466DQJ2x3ldd1AWC1IL97ZRWwiDR-Oebhs"}
複製程式碼

然後在header中加入token,在訪問http://127.0.0.1:7001/user

// Authorization: Bearer 授權:令牌型別為Bearer curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoidGlwdG9lIiwiaWF0IjoxNDk2Mzg4NzgwLCJleHAiOjE0OTYzOTIzODB9.N2e-84Pmf466DQJ2x3ldd1AWC1IL97ZRWwiDR-Oebhs" http://127.0.0.1:7001/user
複製程式碼

返回如下內容,說明認證已經通過

{"payload":{"name":"tiptoe","iat":1496398614,"exp":1496402214}}
複製程式碼

相關推薦

json web token for Egg.js 實踐

認識json web token 根據維基百科的定義,JSON WEB Token(JWT,讀作 [/dʒɒt/]),是一種基於JSON的、用於在網路上宣告某種主張的令牌(token)。JWT通常由三部分組成: 頭資訊(header), 訊息體(payload)和簽名(signature)。 頭資訊指定了

理解JWT(JSON Web Token)認證及python實踐

原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本認證是一種用來允許Web瀏覽器或其他客戶端程式在請求時

Spring Security學習記錄(四) -- JSON Web Token實踐(下)

前提 接著上篇的內容,瞭解了JWT Token後,發現這東西就是一個可信的使用者資訊儲存方式,那麼可信的話就可以省去驗證這個步驟,只有當需要使用者的詳細資訊時候才會去DB中查詢使用者的詳細資訊.那麼現在的流程就是 使用者請求 -> Spring Sec

使用json web token

undefined this dmi ber sub 數據庫 說明 nat publish 由來 做了這麽長時間的web開發,從JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到現在的nodej

[轉]八幅漫畫理解使用JSON Web Token設計單點登錄系統

漫畫 響應 嘗試 占用 tao 自己的 解碼 -a 發送 上次在《JSON Web Token - 在Web應用間安全地傳遞信息》中我提到了JSON Web Token可以用來設計單點登錄系統。我嘗試用八幅漫畫先讓大家理解如何設計正常的用戶認證系統,然後再延伸到單點登錄系統

利用Redis撤銷JSON Web Token產生的令牌

redis數據庫 pre 是否 pop 實例 撤銷 logo send .post 利用Redis撤銷JSON Web Token產生的令牌 作者:chszs。版權全部。未經允許,不得轉載。博主主頁:http://blog.csdn.net/chszs

什麽是JWT(JSON WEB TOKEN

加密 string style 直接 協議 策略 ade aud images 什麽是JWT Json web token(JWT)是為了網絡應用環境間傳遞聲明而執行的一種基於JSON的開發標準(RFC 7519),該token被設計為緊湊且安全的,特別適用於分

JWT--JSON WEB TOKEN

hmac 授權 消費者 隨著 相關 數據 cors 服務器端 容易 轉自簡書 http://www.jianshu.com/p/576dbf44b2ae 什麽是JWT Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標

JWT(JSON WEB TOKEN) / oauth2 / SSL

bash 字符 維護 ssl 信息 簡單 角色 ron 保存會話 1: JWT:   為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來

JWT JSON Web Token

bubuko 可靠的 分組 使用 dig pan alt 可靠 stringify JWT(JSON Web Token) 允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息的規範。 JWT由三個部分組成:header(頭部)、payload(載荷)、signature

深入淺出JWT(JSON Web Token )

sha 安全 nature 調試器 orm 攔截 們的 登錄 長度限制 1. JWT 介紹 JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊(Compact)且自包含(Self-contained)的方式,用於在各方之間以JSON

Json Web Token(JWT)

.json import form hid color 執行 加密方法 isa dep Json web token (JWT),是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519)。該token被設計為緊湊且安全的,特別適用於分布式站點的

JSON Web Token的使用(轉載)

過期 多臺 hcm 完整 協議 客戶端 word https協議 rod 定義JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。適用場景1、用於向Web應用傳遞一些非敏感信息。例如完成加好友、下訂單的

[認證授權] 2.OAuth2授權(續) & JWT(JSON Web Token)

har 表示 一個 wii body 是什麽 ibm 其他 user 1 RFC6749還有哪些可以完善的? 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是只提供了如何獲

JSON Web Token - 在Web應用間安全地傳遞信息

tps 數據 symbol 五個 example 分享 不可 什麽 attr JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。 讓我們來假想一下一個場景。在A用戶關註了B用戶的時候,系統發郵件給B用

JWT (JSON WEB Token)正確使用場景

頁面包含 eth token 生成 example 各類 場景 bottom container https://www.jianshu.com/p/af8360b83a9f 講真,別再使用JWT了! ThoughtWorks中國 2017.08.16 08

Json Web Token(JWT)詳解

再次 即使 設備 系統 客戶 利用 fck 第三方服務 ont 什麽是Json Web Token Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別

API安全驗證之JWT(JSON WEB TOKEN) OLCMS

假如www.olcms.com/getUserInfo獲取使用者資訊,你怎麼知道當前使用者是誰?有人說登陸時候我把他UID寫入session了,如果是API介面,沒有session怎麼辦,那麼就需要把UID帶到引數裡面,如果直接帶裡面,安全怎麼辦?所以我們需要加密成別人看不懂的字串,這就是JWT(JSON W

JSON Web Token實戰篇——基於koa開發WEB後臺認證機制

今天來說說JSON Web Token,JSON Web Token(縮寫 JWT)是目前最流行的跨域認證解決方案。關於它的介紹,可以看阮一峰的這篇文章JSON Web Token 入門教程 工作流程 這裡直接使用官網的圖 知道了JWT的原理後,我們來看一下如何基於koa開發web

JWT(Json Web Token)框架 jjwt 教程

JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替換了 SessionId 的資源訪問和狀態的保持。基於JWT