使用 JSON Web Tokens 保护 RESTful API-JavaScript中文网-JavaScript教程资源分享门户

随着移动互联网的兴起和云计算的普及，RESTful API 成为了各个 web 应用程序的重要组成部分。由于 RESTful API 的开放性，信息安全问题变得尤为重要。在这种情况下，JSON Web Tokens（JWT）成为了一种流行的安全机制，它可以帮助我们保护 RESTful API 的安全性。

什么是 JSON Web Tokens（JWT）？

JSON Web Tokens 提供了一种安全的方法，在客户端和服务端之间传输 JSON 对象。它包含了一些有用的信息，比如用户 ID、访问权限等等。JWT 由三部分组成，分别是 Header、Payload 和 Signature：

Header

Header 包含了 JWT 的元数据信息，如下所示：

{
  "alg": "HS256",
  "typ": "JWT"
}

Header 使用 Base64 进行编码，并在其内部使用指定的算法进行签名。在上面的示例中，使用的是算法 "HS256"。

Payload

Payload 包含了 JWT 所要传输的信息，如下所示：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Payload 也使用 Base64 进行编码并加密，包含了该 JWT 所要传输的信息。Payload 中不应该包含敏感信息，因为它可以被解码和查看。

Signature

Signature 是 JWT 的签名部分，用于防止数据篡改。Signature 的计算方法为：使用 Base64 对 Header 和 Payload 进行编码，然后将它们用一个点连接起来，再使用指定算法进行签名。示例代码如下：

var jwt = require('jsonwebtoken');
var token = jwt.sign({ foo: 'bar' }, 'shhhhh');

签名后的 JWT 如下所示：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.eyJmb28iOiJiYXIifQ
.fiKmI32OTNsXRjZkkJtZBrz5Q5erOov_f0V2-3K3Y7o

如何使用 JWT 保护 RESTful API？

在实际项目中，我们需要使用 JWT 保护 RESTful API 的安全性。下面是一个示例代码，演示如何使用 JWT 实现 RESTful API 的保护：

-- -------------------- ---- -------
----- --- - ------------------------
----- ------- - -------------------
----- ---------- - -----------------------

----- --- - ----------
------------------------------- --------- ----- ----
---------------------------

----- ----- - -
  - --- -- ------ ---- ----- -------- ------- --- ----- ------------ ----- ---- --
  - --- -- ------ --- ---- - ------------- ------- ------- ----- ----- ---- --
  - --- -- ------ ------- ------- ------- -------- ----- ---- --
--

----- ----- - -
  - --- -- ----- -------- --------- --------- ------ ---- --
  - --- -- ----- ------ --------- -------- --
--

----- ---------- - --------------

-------- -------------------------- --------- -
  ----- ---- - ----------------- -- --------- --- ----------

  -- ------- -
    ------ -----
  -

  -- -------------- --- --------- -
    ------ -----
  -

  ------ - --- -------- ----- ---------- ------ ---------- --
-

-------- ------------------ ---- ----- -
  ----- ----- - --------------------------------- ------

  ----------------- ----------- ------------- -------- -
    -- ----- -
      ---------------------- ------ -------- ------ ---
    -

    ----------- - --------
    -------
  ---
-

------------------ ----- ---- -- -
  ----- - --------- -------- - - ---------

  ----- ---- - -------------------------- ----------

  -- ------- -
    ------ ---------------------- ------ -------- ------------ ---
  -

  ----- ----- - -------------- ------------
  ---------- ----- ---
---

----------------- -------------- ----- ---- -- -
  ----------------
---

---------------- -- -- -
  ------------------- ------- -- ------------------------
---

上面的代码中，我们使用 express 和 body-parser 这两个模块来创建一个 RESTful API。我们可以从 /books 端点获取书籍信息，但是这个端点需要验证用户 token 才能访问。为了验证 token，我们需要使用 jwt.verify() 方法来检查传递给我们的 token 是否是有效的。如果 token 有效，就可以将用户数据添加到 req 对象中，以便我们可以在端点处理程序中使用它。如果 token 无效，我们将返回一个 401 错误。

在我们的代码中，用户需要先使用 /login 端点进行身份验证。在这个端点中，我们将检查用户提供的凭据，并使用 jwt.sign() 方法来创建一个新 token。这个 token 将用于之后的所有请求中。如果输入的用户名和密码正确，我们将返回一个包含 token 的 JSON 对象。如果凭据无效，我们将返回一个 401 错误。

总结

使用 JSON Web Tokens 可以有效地增强 RESTful API 的安全性。通过了解 JWT 的工作原理和使用方法，我们可以在实际项目中更好地保护数据的隐私，并提供更好的用户体验。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/645071ba980a9b385b97bbc1