token鉴权

什么是token鉴权呢？
token就是令牌的意思，举个生活中的例子：
大家肯定都去过ktv，你在收银台交过钱后，一般会在你的手上盖个戳，然后你去唱歌，唱到一半的时候，突然想起自己的车好像没锁！你心急火燎的跑出去锁车，但回来的时候被保安大哥拦下：交钱了没哥们？这时你出示一下手上的印戳，保安大哥查验后就让你顺利通过了。
这个戳就是token令牌，代表你交过钱了；而保安大哥的查验就是鉴权。
因此，token鉴权的过程就是：
1、登陆页面，输入了用户名和密码，然后通过ajax提交到后台。
2、后台拿到了用户名密码，去数据库查询该用户。
3、查询成功后，对用户名和密码等敏感信息进行JWT加密，将加密后的token返回给前端。
4、前端在访问其他页面时，都需带上token。
5、后台其他接口都校验token。

jwt.jpg

下面看一下代码实现：

//生成一个token
const jwt = require('jsonwebtoken');
const secret = 'test';//私钥
//生成token
let token = jwt.sign({
    uid: 2,
    name: 'zhangsan',
    pass:'123456',
    isAdmin:true,
}, secret,{ expiresIn: '2h' })
console.log(token)

//校验token
jwt.verify(token, secret, (err, info) => {
    if (err) {
        console.log(err)
    }
    console.log(info)//校验成功
})
//校验token
// jwt.verify(token,'hello',(err,info)=>{
//     if(err){
//         console.log(err)//校验失败
//     }
//     console.log(info)
// })

看起来挺容易的哈，但如果生产环境这么搞，问题就大了。。。
我们看一下生成的token是啥样子：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjIsIm5hbWUiOiJ6aGFuZ3NhbiIsInBhc3MiOiIxMjM0NTYiLCJpc0FkbWluIjp0cnVlLCJpYXQiOjE1ODYyNDE0MTksImV4cCI6MTU4NjI0ODYxOX0.T12gy6v1ee5IXTgb1ht45tFX9ta6PMOn4mPH9gDrzSk

用点分隔，一共分了三段。其中前两段其实是可以用base64还原出来的：

console.log(Buffer.from('eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9', 'base64').toString('ascii'))//header信息
console.log(Buffer.from('eyJ1aWQiOjIsIm5hbWUiOiJ6aGFuZ3NhbiIsInBhc3MiOiIxMjM0NTYiLCJpc0FkbWluIjp0cnVlLCJpYXQiOjE1ODYyNDE0MTksImV4cCI6MTU4NjI0ODYxOX0', 'base64').toString('ascii'))//payload载荷信息

下面解释一下token的组成部分。
第一段：头部header

{"alg":"HS256","typ":"JWT"}

这个主要是定义了一些规则：typ就是类型，alg是声明加密的算法。
第二段：载荷payload

{"uid":2,"name":"zhangsan","pass":"123456","isAdmin":true,"iat":1586241419,"exp":1586248619}

载荷是信息的主体部分，这个实际上是万万不能放敏感信息的，否则返回到客户端人家一解密，信息都爆出来啦~~
第三段：签名signature
base64加密后的header，和base64加密后的payload，二者连接组成字符串，然后通过header中声明的加密方式进行私钥secret组合加密，然后就构成了jwt的第三部分——签名。
这个签名不可简单的认为是一个类似md5的加密字符串，因为相同的header和payload，每次刷新都会产生不一样的值。签名是用的HS256算法加密的，比md5更安全。
如果载荷payload无法放敏感信息，那又能放什么呢？
如果载荷什么都不放，又怎么来区分不同用户呢？
其实也简单：
载荷信息只放uid好啦，也就是用户表的自增id。

//生成一个token
const jwt = require('jsonwebtoken');
const secret = 'test';//私钥
//生成token
let token = jwt.sign({
    uid: 2
}, secret,{ expiresIn: '2h' })
console.log(token)

这个信息并不重要，前端即使知道了这个用户id，要伪造一个token通过验证，则必须知道secret私钥才行。
下面看一下使用方法。
以express为例，我们可以在路由/login生成token返回给前端，然后在app.js入口让其他所有的路由都走鉴权。

var expressJWT = require('express-jwt');//跟生成jwt不是一个中间件
var mySecret = "test"  //私钥
app.use(expressJWT({
    secret: mySecret 
}).unless({
    path: ['/login']  //除了这个地址，其他的URL都需要验证
}));