JWT通过Header、Payload、Signature三部分实现无状态认证,用户登录后后端生成Token,前端存储并在请求头中携带Bearer Token,后端验证有效性;需注意使用强密钥、合理过期时间及HttpOnly Cookie等安全措施。
JWT(JSON Web Token)在JS全栈开发中常用于用户身份验证,它通过加密签名的方式安全地传递用户信息。前后端使用JWT可以实现无状态的认证机制,减少服务器会话存储压力。
JWT的基本结构与工作流程
JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名),格式为 xxx.yyy.zzz。通常在用户登录成功后,后端生成JWT并返回给前端,前端后续请求携带该Token进行身份验证。
典型流程如下:
- 用户提交账号密码登录
- 后端验证通过后生成JWT(通常包含用户ID、角色、过期时间等)
- 前端将JWT存储在localStorage或内存中
- 每次请求时在Authorization头中携带Bearer + Token
- 后端验证Token有效性,决定是否响应请求
后端实现(node.js + express + jsonwebtoken)
使用 jsonwebtoken 库生成和验证Token。
示例代码:
const jwt = require('jsonwebtoken'); const SECRET_KEY = 'your-secret-key'; // 应放在环境变量中 // 登录接口生成Token app.post('/login', (req, res) => { const { username, password } = req.body; // 验证用户名密码(此处简化) if (username === 'admin' && password === '123456') { const token = jwt.sign( { userId: 1, username }, SECRET_KEY, { expiresIn: '1h' } ); res.json({ token }); } else { res.status(401).json({ message: '登录失败' }); } }); // 验证中间件 function authenticateToken(req, res, next) { const authHeader = req.headers['authorization']; const token = authHeader && authHeader.split(' ')[1]; if (!token) return res.sendStatus(401); jwt.verify(token, SECRET_KEY, (err, user) => { if (err) return res.sendStatus(403); req.user = user; next(); }); } // 受保护的接口 app.get('/profile', authenticateToken, (req, res) => { res.json({ message: `欢迎 ${req.user.username}` }); });
前端实现(JavaScript + Fetch)
前端在登录后保存Token,并在后续请求中附加到请求头。
示例代码:
// 登录并获取Token async function login() { const response = await fetch('/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username: 'admin', password: '123456' }) }); const data = await response.json(); localStorage.setItem('token', data.token); // 存储Token } // 带Token的请求 async function getProfile() { const token = localStorage.getItem('token'); const response = await fetch('/profile', { headers: { 'Authorization': `Bearer ${token}` } }); const data = await response.json(); console.log(data); }
安全建议与最佳实践
虽然JWT方便,但需注意安全问题:
- 敏感信息不要写入Payload,即使加密也可能被解码
- 使用强密钥并存于环境变量,避免硬编码
- 设置合理过期时间,避免长期有效
- 前端优先使用HttpOnly Cookie存储Token可防xss(比localStorage更安全)
- 实现Token黑名单机制以支持主动注销
- 避免在URL中传递Token,防止日志泄露
基本上就这些。JWT在JS全栈中应用广泛,关键是前后端配合好签发、传递和验证流程,同时注重安全性。