JWT如何实现登录、鉴权

       JWT(JSON WEB TOKEN)：JSON网络令牌，JWT是一个轻便的安全跨平台传输格式，定义了一个紧凑的自包含的方式在不同实体之间安全传输信息（JSON格式）。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称；狭义上JWT指的就是用来传递的那个token字符串。

       由于>JWT认证机制
session不可跨域，用户信息保存在服务器端；
JWT可以跨域，用户信息保存在浏览器；

JWT工作原理
1、客户端通过浏览器输入密码用户名发起登陆请求；
2、服务器验证后，对用户信息通过加密后生成token字符串响应给客户端（服务器不保留token字符串）；
3、将加密后token字符串存储到local storage;
4、客户端再次发起请求时，会把token字符串发送给服务器端；
5、服务器端收到token字符串后，会还原成客户用户信息开始验证，验证成功后会根据当前用户生成特定的响应内容；

安装JWT相关的包
1、jsonwebtoken：用于生成JWT字符串；
2、express-jwt：用于将JWT字符串还原为JSON对象；

3、导入jsonwebtoken express-jwt 模块

4、定义secret密钥，对JWT字符串进行加密；

5、在登录成功之后，调用 jwtsign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端

6、注册将 JWT 字符串解析还原成 JSON 对象的中间件；

6、使用 requser 获取用户信息，并使用 data 属性将用户信息发送给客户端

9、错误中间件

JWT是JSON Web Token的缩写,是一个轻巧的规范,一个开放的行业标准,它定义了一种简洁的、自包含的协议格式,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的消息

一个JWT实际上就是一个字符串,它由三部分组成,头部、荷载与签名

头部描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等

例如{"type":"JWT","alg":"HS256"}

其头部指明了签名算法是HS256算法

HMAC算法(非对称的)

SH256

RSA

荷载就是存放有效信息的地方

定义一个payload:{"sub":"1234567890","name":"John Doe","admin":true}

签证又由三部分组成,base64加密后的header和base64加密后的payload使用,连接组成的字符串

然后通过header中声明的加密方式进行加盐secret组合加密

1、jwt基于json,非常方便解析

2、可以在令牌中自定义丰富的内容,易扩张

3、通过非对称加密算法以及数字签名技术,JWT防止篡改,安全性高

4、资源服务使用JWT可不依赖认证服务即可完成授权

JWT令牌较长,占存储空间比较大

一个公钥对应一个私钥,私钥作为签名给JWT加密,那么这里需要生成与之对应的公钥:

输入密钥库口令: keytool -list -keystore changgoujks

显示的信息为:

密钥库类型: jks

密钥库提供方: SUN

您的密钥库包含 1 个条目

changgou, 2020-7-28, PrivateKeyEntry,

证书指纹 (SHA1): 45:2E:51:8B:84:86:03:8C:AF:99:14:5F:4F:D6:98:33:39:92:33:79

输入命令后就可以得到公钥:

注释:classPathResource:私钥位置;

new KeyStoreKeyFactory:创建私钥工厂,需要私钥库密码和私钥位置两个参数;

keyStoreKeyFactorygetKeyPair(alias,passwordtoCharArray):获取keyPair对象,keyPairgetPrivate()即是获取私钥;

根据私钥获取令牌:JwtHelperencode(JSONtoJSONString(map,new RsaSigner(rsaPrivateKey));

前后端分离架构带来的好处一搜一大堆，我们来看一下分离后后端接口的安全问题。
前后端分离架构现状：

这样的情况后端api是暴露在外网中，因为常规的web项目无论如何前端都是要通过公网访问到后台api的，带来的隐患也有很多。
1接口公开，谁都可以访问
2数据请求的参数在传输过程被篡改
3接口被重复调用

session和cookie都是客户端与服务端通讯需要提供的认证，当客户端的值和服务器的值吻合时，才允许请求api，解决了第1个问题，但是当攻击者获取到了传输过程中的session或者cookie值后，就可以进行第2、3种攻击了

JWT标准的token包含三部分：

头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等

将上面的JSON对象进行 [base64编码] 可以得到下面的字符串。这个字符串我们将它称作JWT的Header

Payload也是一个JSON对象。包含了一些其他的信息

这里面的前五个字段都是由JWT的标准所定义的。

将上面的JSON对象进行 [base64编码] 可以得到下面的字符串。这个字符串我们将它称作JWT的Payload

将上面的两个编码后的字符串都用句号 连接在一起（头部在前），就形成了

最后，我们将上面拼接完的字符串用 HS256算法 进行加密。在加密的时候，我们还需要提供一个 密钥（secret） 。如果我们用 mystar 作为密钥的话，那么就可以得到我们加密后的内容

这一部分叫做 签名

最后将这一部分签名也拼接在被签名的字符串后面，我们就得到了完整的JWT

签名解决了数据传输过程中参数被篡改的风险
一般而言，加密算法对于不同的输入产生的输出总是不一样的，如果有人 对Header以及Payload的内容解码之后进行修改，再进行编码的话，那么新的头部和载荷的签名和之前的签名就将是不一样的。 而且，如果不知道服务器加密的时候用的密钥的话，得出来的签名也一定会是不一样的。

解决了篡改数据的问题，还有第3个问题，那就是攻击者不修改数据，只是重复攻击

比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统，黑客还是可以利用窃取的Token模拟正常请求，而服务器端对此完全不知道， 因为JWT机制是无状态的。

可以在Payload里增加时间戳并且前后端都参与来解决：

---