了解 JWT-js教程-PHP中文網

首頁

web前端

js教程

了解 JWT

王林

Aug 08, 2024 pm 01:46 PM

智威湯遜是什麼？

JWT 代表 json web token，它是開放標準，用於以 JSON 物件的形式在各方之間傳輸訊息。它結構緊湊、URL 安全，並廣泛用於 Web 應用程式中的身份驗證和資訊交換。

JWT 使用金鑰和機密進行數位簽章。我們使用這些金鑰和簽名驗證 JWT 以對使用者進行身份驗證。大多數網路系統使用 JWT 來授權使用者存取某些資源。

代幣組件

JWT 有三個主要元件：標頭、有效負載和簽名。當我們建立令牌時，我們傳遞標頭和負載，然後令牌產生簽名。

Headre - JWT 的標頭包含有關令牌的元資料。它包括三個值：alg、typ 和 kids。 alg指定用於對令牌進行簽署的演算法，typ表示令牌類型，kid是用於識別金鑰的可選參數。是否包含孩子取決於您的用例。

{
  "alg": "RS256", // allow [HS256,RS256,ES256]
  "typ": "JWT", // Specific Type Of token
  "kid": "12345" // Used to indicate which key was used to sign 
the JWT. This is particularly useful when multiple keys are in use
}

有效負載 - 在有效負載中，我們指定一些自訂數據，主要是將使用者特定資料新增至有效負載中，例如使用者 ID 和角色。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

簽名 - 簽章是透過使用金鑰（對於 HS256）對標頭和負載進行編碼或使用私鑰（對於 RSA）對其進行簽名，然後對結果進行哈希處理來產生的。此簽名用於驗證令牌。

令牌是如何建立的

正如我們所討論的，JWT 有三個元件：標頭、有效負載和簽名。我們提供標頭和有效負載，並根據它們產生簽名。組合所有這些組件後，我們創建了令牌。

// Header Encoding
Base64Url Encode({
  "alg": "RS256",
  "typ": "JWT"
}) → eyJhbGciOiAiUlMyNTYiLCAidHlwIjogIkpXVCJ9


// Payload Encoding
Base64Url Encode({
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}) → eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIkpvaG4gRG9lIiwgImlhdCI6IDE1MTYyMzkwMjJ9


// Concatenate Encoded header and payload
ConcatenatedHash =  Base64Url Encode(Header) + "." + Base64Url Encode(Payload)

//Create Signature
Hash = SHA-256(ConcatenatedHash)
Signature = RSA Sign(Hash with Private Key) or HS256 Sign(Hash with secrate)

// Create Token
Token = Base64UrlEncode(Header) +"."+ Base64UrlEncode(Payload) +"."+ Signature

因此，建立 JWT 的過程如下：我們對有效負載和標頭進行編碼，然後從中產生簽章。

Understanding the JWT

驗證 JWT 令牌

之前，我們討論如何建立 JWT。現在，我們來討論如何驗證 JWT。驗證過程本質上是令牌創建的逆過程。首先，我們使用秘密或公鑰解密令牌。然後，我們連接標頭和有效負載以產生簽名。如果產生的哈希與簽章匹配，則令牌有效；否則無效。

// Token we recive in this formate
Token = Base64UrlEncode(Header) +"."+ Base64UrlEncode(Payload) +"."+ Signature

// Decrypt Signature
TokenHash = RSA Decrypt(Hash with Public Key) or HS256 Sign(Hash with secrate)

// Generate Hash From Encoded Header and Payload
Hash = SHA-256(Base64UrlEncode(Header) +"."+ Base64UrlEncode(Payload))

// Compare Hash
if(TokenHash == Hash) "Valid"
else "Not Valid"

使用 JWT 的好處

安全性 - JWT 經過數位簽名，確保資料的完整性和真實性
緊湊 - JWT 體積小，使其能夠有效率地透過網路傳輸。
自包含 - JWT 包含有關用戶的所有必要信息，減少了多次查詢資料庫的需要。

JWT 提供了上述所有優點，使其成為大多數授權使用者的身份驗證機制的流行選擇。此外，JWT 可以與各種身份驗證技術一起使用，例如 DPoP 等。

如何在程式碼中使用 JWT

要在程式碼中使用 JWT，我們使用 jsonwebtoken npm 套件。使用 JWT 有兩種方法：使用金鑰的簡單方法和金鑰對方法（使用公鑰和私鑰）。

使用秘密

import jwt from 'jsonwebtoken';

// Define the type for the payload
interface Payload {
  userId: number;
  username: string;
}

// Secret key for signing the JWT
const secretKey: string = 'your-very-secure-secret';

// Payload to be included in the JWT
const payload: Payload = {
  userId: 123,
  username: 'exampleUser'
};

// Sign the JWT
const token: string = jwt.sign(payload, secretKey, { expiresIn: '1h' });
console.log('Generated Token:', token);

import jwt from 'jsonwebtoken';

// Secret key for signing the JWT
const secretKey: string = 'your-very-secure-secret';

// Verify the JWT
try {
  const decoded = jwt.verify(token, secretKey) as Payload;
  console.log('Decoded Payload:', decoded);
} catch (err) {
  console.error('Token verification failed:', (err as Error).message);
}

使用密鑰對方法

import * as jwt from 'jsonwebtoken';
import { readFileSync } from 'fs';

// Load your RSA private key
const privateKey = readFileSync('private_key.pem', 'utf8');

// Define your payload
const payload = {
  sub: '1234567890',
  name: 'John Doe',
  iat: Math.floor(Date.now() / 1000) // Issued at
};

// Define JWT sign options
const signOptions: jwt.SignOptions = {
  algorithm: 'RS256',
  expiresIn: '1h' // Token expiration time
};

// Generate the JWT
const token = jwt.sign(payload, privateKey, signOptions);
console.log('Generated JWT:', token);

import * as jwt from 'jsonwebtoken';
import { readFileSync } from 'fs';

// Load your RSA public key
const publicKey = readFileSync('public_key.pem', 'utf8');

// Define JWT verify options
const verifyOptions: jwt.VerifyOptions = {
  algorithms: ['RS256'] // Specify the algorithm used
};

try {
  // Verify the JWT
  const decoded = jwt.verify(token, publicKey, verifyOptions) as jwt.JwtPayload;

  console.log('Decoded Payload:', decoded);
} catch (error) {
  console.error('Error verifying token:', error);
}

結論

總之，JSON Web Tokens (JWT) 使用緊湊的格式在各方之間安全地傳輸訊息。 RSA 簽署和驗證涉及使用私鑰進行簽署和公鑰進行驗證。 TypeScript 範例說明了使用 RSA 私鑰產生 JWT 並使用 RSA 公鑰對其進行驗證，確保基於令牌的安全性驗證和資料完整性。

以上是了解 JWT的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

在JavaScript中替換字符串字符Mar 11, 2025 am 12:07 AM

JavaScript字符串替換方法詳解及常見問題解答本文將探討兩種在JavaScript中替換字符串字符的方法：在JavaScript代碼內部替換和在網頁HTML內部替換。在JavaScript代碼內部替換字符串最直接的方法是使用replace()方法： str = str.replace("find","replace"); 該方法僅替換第一個匹配項。要替換所有匹配項，需使用正則表達式並添加全局標誌g： str = str.replace(/fi

jQuery檢查日期是否有效Mar 01, 2025 am 08:51 AM

簡單JavaScript函數用於檢查日期是否有效。 function isValidDate(s) { var bits = s.split('/'); var d = new Date(bits[2] '/' bits[1] '/' bits[0]); return !!(d && (d.getMonth() 1) == bits[1] && d.getDate() == Number(bits[0])); } //測試 var

jQuery獲取元素填充/保證金Mar 01, 2025 am 08:53 AM

本文探討如何使用 jQuery 獲取和設置 DOM 元素的內邊距和外邊距值，特別是元素外邊距和內邊距的具體位置。雖然可以使用 CSS 設置元素的內邊距和外邊距，但獲取準確的值可能會比較棘手。 // 設定 $("div.header").css("margin","10px"); $("div.header").css("padding","10px"); 你可能會認為這段代碼很

10個jQuery手風琴選項卡Mar 01, 2025 am 01:34 AM

本文探討了十個特殊的jQuery選項卡和手風琴。選項卡和手風琴之間的關鍵區別在於其內容面板的顯示和隱藏方式。讓我們深入研究這十個示例。相關文章：10個jQuery選項卡插件

10值得檢查jQuery插件Mar 01, 2025 am 01:29 AM

發現十個傑出的jQuery插件，以提升您的網站的活力和視覺吸引力！這個精選的收藏品提供了不同的功能，從圖像動畫到交互式畫廊。讓我們探索這些強大的工具：相關文章：1

HTTP與節點和HTTP-Console調試Mar 01, 2025 am 01:37 AM

HTTP-Console是一個節點模塊，可為您提供用於執行HTTP命令的命令行接口。不管您是否針對Web服務器，Web Serv

自定義Google搜索API設置教程Mar 04, 2025 am 01:06 AM

本教程向您展示瞭如何將自定義的Google搜索API集成到您的博客或網站中，提供了比標準WordPress主題搜索功能更精緻的搜索體驗。令人驚訝的是簡單！您將能夠將搜索限制為Y

jQuery添加捲軸到DivMar 01, 2025 am 01:30 AM

當div內容超出容器元素區域時，以下jQuery代碼片段可用於添加滾動條。 (無演示，請直接複製到Firebug中) //D = document //W = window //$ = jQuery var contentArea = $(this), wintop = contentArea.scrollTop(), docheight = $(D).height(), winheight = $(W).height(), divheight = $('#c

See all articles