使用jwt验证,由于服务端不保存用户信息,因此不用做sessonid复制,同时用户发请求给服务端时,前端使用JS将jwt放在header中手动发送给服务端,服务端验证header中的JWT字段,而非cookie信息,这样就避免了漏洞攻击,例如jwt认证中token生成过程:
const crypto = require("crypto");
const base64UrlEncode = require("base64url");
//头部信息
var header = {
"alg": "HS256", //签名算法类型,默认是 HMAC SHA256(写成 HS256)
"typ": "JWT" //令牌类型,JWT令牌统一为JWT
};
//负载信息,存储用户信息
var payload = {
"sub": "1234567890",
"name": "xiao jie",
"admin": true
}
//服务器秘钥,用于加密生成signature,不可泄漏
var secret = "chaojidamantou";
//header部分和payload部分
var message = base64UrlEncode(JSON.stringify(header)) + "." + base64UrlEncode(JSON.stringify(payload));
//HMACSHA256加密算法
function HMACSHA256(message, secret) {
return crypto.createHmac('sha256', secret).update(message).digest("hex");
}
//生成签名信息
var signature = HMACSHA256(message, secret);
//header和payload部分内容默认不加密,也可以使用加密算法加密
var JWT = message + "." + base64UrlEncode(signature);
console.log(JWT);
