了解 JWT-js教程-PHP中文网

首页

web前端

js教程

了解 JWT

王林

Aug 08, 2024 pm 01:46 PM

智威汤逊是什么？

JWT 代表 json web token，它是开放标准，用于以 JSON 对象的形式在各方之间传输信息。它结构紧凑、URL 安全，并广泛用于 Web 应用程序中的身份验证和信息交换。

JWT 使用密钥和机密进行数字签名。我们使用这些密钥和签名验证 JWT 以对用户进行身份验证。大多数网络系统使用 JWT 来授权用户访问某些资源。

代币组件

JWT 具有三个主要组件：标头、有效负载和签名。当我们创建令牌时，我们传递标头和负载，然后令牌生成签名。

Headre - JWT 的标头包含有关令牌的元数据。它包括三个值：alg、typ 和 kids。 alg指定用于对令牌进行签名的算法，typ表示令牌类型，kid是用于标识密钥的可选参数。是否包含孩子取决于您的用例。

{
  "alg": "RS256", // allow [HS256,RS256,ES256]
  "typ": "JWT", // Specific Type Of token
  "kid": "12345" // Used to indicate which key was used to sign 
the JWT. This is particularly useful when multiple keys are in use
}

有效负载 - 在有效负载中，我们指定一些自定义数据，主要是将用户特定数据添加到有效负载中，例如用户 ID 和角色。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

签名 - 签名是通过使用密钥（对于 HS256）对标头和负载进行编码或使用私钥（对于 RSA）对其进行签名，然后对结果进行哈希处理来生成的。该签名用于验证令牌。

令牌是如何创建的

正如我们所讨论的，JWT 具有三个组件：标头、有效负载和签名。我们提供标头和有效负载，并根据它们生成签名。组合所有这些组件后，我们创建了令牌。

// Header Encoding
Base64Url Encode({
  "alg": "RS256",
  "typ": "JWT"
}) → eyJhbGciOiAiUlMyNTYiLCAidHlwIjogIkpXVCJ9


// Payload Encoding
Base64Url Encode({
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}) → eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIkpvaG4gRG9lIiwgImlhdCI6IDE1MTYyMzkwMjJ9


// Concatenate Encoded header and payload
ConcatenatedHash =  Base64Url Encode(Header) + "." + Base64Url Encode(Payload)

//Create Signature
Hash = SHA-256(ConcatenatedHash)
Signature = RSA Sign(Hash with Private Key) or HS256 Sign(Hash with secrate)

// Create Token
Token = Base64UrlEncode(Header) +"."+ Base64UrlEncode(Payload) +"."+ Signature

因此，创建 JWT 的过程如下：我们对有效负载和标头进行编码，然后从中生成签名。

Understanding the JWT

验证 JWT 令牌

之前，我们讨论了如何创建 JWT。现在，我们来讨论如何验证 JWT。验证过程本质上是令牌创建的逆过程。首先，我们使用秘密或公钥解密令牌。然后，我们连接标头和有效负载以生成签名。如果生成的哈希与签名匹配，则令牌有效；否则无效。

// Token we recive in this formate
Token = Base64UrlEncode(Header) +"."+ Base64UrlEncode(Payload) +"."+ Signature

// Decrypt Signature
TokenHash = RSA Decrypt(Hash with Public Key) or HS256 Sign(Hash with secrate)

// Generate Hash From Encoded Header and Payload
Hash = SHA-256(Base64UrlEncode(Header) +"."+ Base64UrlEncode(Payload))

// Compare Hash
if(TokenHash == Hash) "Valid"
else "Not Valid"

使用 JWT 的好处

安全性 - JWT 经过数字签名，确保数据的完整性和真实性
紧凑 - JWT 体积小，使其能够高效地通过网络传输。
自包含 - JWT 包含有关用户的所有必要信息，减少了多次查询数据库的需要。

JWT 提供了上述所有优点，使其成为大多数授权用户的身份验证机制的流行选择。此外，JWT 可以与各种身份验证技术一起使用，例如 DPoP 等。

如何在代码中使用 JWT

要在代码中使用 JWT，我们使用 jsonwebtoken npm 包。使用 JWT 有两种方法：使用密钥的简单方法和密钥对方法（使用公钥和私钥）。

使用秘密

import jwt from 'jsonwebtoken';

// Define the type for the payload
interface Payload {
  userId: number;
  username: string;
}

// Secret key for signing the JWT
const secretKey: string = 'your-very-secure-secret';

// Payload to be included in the JWT
const payload: Payload = {
  userId: 123,
  username: 'exampleUser'
};

// Sign the JWT
const token: string = jwt.sign(payload, secretKey, { expiresIn: '1h' });
console.log('Generated Token:', token);

import jwt from 'jsonwebtoken';

// Secret key for signing the JWT
const secretKey: string = 'your-very-secure-secret';

// Verify the JWT
try {
  const decoded = jwt.verify(token, secretKey) as Payload;
  console.log('Decoded Payload:', decoded);
} catch (err) {
  console.error('Token verification failed:', (err as Error).message);
}

使用密钥对方法

import * as jwt from 'jsonwebtoken';
import { readFileSync } from 'fs';

// Load your RSA private key
const privateKey = readFileSync('private_key.pem', 'utf8');

// Define your payload
const payload = {
  sub: '1234567890',
  name: 'John Doe',
  iat: Math.floor(Date.now() / 1000) // Issued at
};

// Define JWT sign options
const signOptions: jwt.SignOptions = {
  algorithm: 'RS256',
  expiresIn: '1h' // Token expiration time
};

// Generate the JWT
const token = jwt.sign(payload, privateKey, signOptions);
console.log('Generated JWT:', token);

import * as jwt from 'jsonwebtoken';
import { readFileSync } from 'fs';

// Load your RSA public key
const publicKey = readFileSync('public_key.pem', 'utf8');

// Define JWT verify options
const verifyOptions: jwt.VerifyOptions = {
  algorithms: ['RS256'] // Specify the algorithm used
};

try {
  // Verify the JWT
  const decoded = jwt.verify(token, publicKey, verifyOptions) as jwt.JwtPayload;

  console.log('Decoded Payload:', decoded);
} catch (error) {
  console.error('Error verifying token:', error);
}

结论

总之，JSON Web Tokens (JWT) 使用紧凑的格式在各方之间安全地传输信息。 RSA 签名和验证涉及使用私钥进行签名和公钥进行验证。 TypeScript 示例说明了使用 RSA 私钥生成 JWT 并使用 RSA 公钥对其进行验证，确保基于令牌的安全身份验证和数据完整性。

以上是了解 JWT的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

在JavaScript中替换字符串字符Mar 11, 2025 am 12:07 AM

JavaScript字符串替换方法详解及常见问题解答本文将探讨两种在JavaScript中替换字符串字符的方法：在JavaScript代码内部替换和在网页HTML内部替换。在JavaScript代码内部替换字符串最直接的方法是使用replace()方法： str = str.replace("find","replace"); 该方法仅替换第一个匹配项。要替换所有匹配项，需使用正则表达式并添加全局标志g： str = str.replace(/fi

jQuery检查日期是否有效Mar 01, 2025 am 08:51 AM

简单JavaScript函数用于检查日期是否有效。 function isValidDate(s) { var bits = s.split('/'); var d = new Date(bits[2] '/' bits[1] '/' bits[0]); return !!(d && (d.getMonth() 1) == bits[1] && d.getDate() == Number(bits[0])); } //测试 var

jQuery获取元素填充/保证金Mar 01, 2025 am 08:53 AM

本文探讨如何使用 jQuery 获取和设置 DOM 元素的内边距和外边距值，特别是元素外边距和内边距的具体位置。虽然可以使用 CSS 设置元素的内边距和外边距，但获取准确的值可能会比较棘手。 // 设置 $("div.header").css("margin","10px"); $("div.header").css("padding","10px"); 你可能会认为这段代码很

10个jQuery手风琴选项卡Mar 01, 2025 am 01:34 AM

本文探讨了十个特殊的jQuery选项卡和手风琴。选项卡和手风琴之间的关键区别在于其内容面板的显示和隐藏方式。让我们深入研究这十个示例。相关文章：10个jQuery选项卡插件

10值得检查jQuery插件Mar 01, 2025 am 01:29 AM

发现十个杰出的jQuery插件，以提升您的网站的活力和视觉吸引力！这个精选的收藏品提供了不同的功能，从图像动画到交互式画廊。让我们探索这些强大的工具：相关文章： 1

HTTP与节点和HTTP-Console调试Mar 01, 2025 am 01:37 AM

HTTP-Console是一个节点模块，可为您提供用于执行HTTP命令的命令行接口。不管您是否针对Web服务器，Web Serv

自定义Google搜索API设置教程Mar 04, 2025 am 01:06 AM

本教程向您展示了如何将自定义的Google搜索API集成到您的博客或网站中，提供了比标准WordPress主题搜索功能更精致的搜索体验。令人惊讶的是简单！您将能够将搜索限制为Y

jQuery添加卷轴到DivMar 01, 2025 am 01:30 AM

当div内容超出容器元素区域时，以下jQuery代码片段可用于添加滚动条。 (无演示，请直接复制到Firebug中) //D = document //W = window //$ = jQuery var contentArea = $(this), wintop = contentArea.scrollTop(), docheight = $(D).height(), winheight = $(W).height(), divheight = $('#c

See all articles