如何在 RESTful API 中使用 JSON Web Tokens（JWT）-JavaScript中文网-JavaScript教程资源分享门户

前言

RESTful API 是现代 Web 开发中常用的后端架构，并且使用 JSON 数据格式传递数据。而在保护 API 的安全性方面，一种流行的方式是使用 JWT。

JWT 是一种用于在两者之间安全传递 JSON 信息的开放标准，其中包括用于验证和数字签名的方法。JWT 在服务端生成一个 token，客户端可以使用这个 token 请求 API 的内容。这种方式有效地防止了不合法的请求直接访问 API。

在本文中，我们将讨论 JWT、RESTful API 和如何在 API 中使用 JWT。

JWT 简介

JSON Web Tokens（JWT）是一种开放标准（RFC 7519），它定义了一种安全地将 JSON 信息传递的方式。

JWT 包含三部分：

Header
Payload
Signature

Header

Header 部分通常由两个部分组成，分别是令牌的类型和算法名称。例如：

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

Payload 包含一组 Claims，它是 JWT 中主要的内容。Claims 是关于实体（通常是用户）和其他数据的声明。Claims 包含了一些标准字段，例如 iss（issuer）、exp（expiration time）和 sub（subject）。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Signature

签名部分使用 Header 和 Payload 部分中的信息（加上一个密钥）来生成一个签名，它可以验证消息的完整性和验证发送者。

RESTful API 与 JWT

在 RESTful API 中，JWT 可以用作用户身份验证的一种方式。在用户登录时，API 会生成一个 token 并将其发送给客户端。客户端稍后可以使用这个令牌以获取对 API 的访问权。

具体来说，客户端可以将令牌包含在请求中的 Authorization Header 中使用 Bearer token 的方式，如下所示：

Authorization: Bearer <token>

服务器可以验证令牌是否有效并授予访问权限。因此，他们可以使用相同的令牌在其他服务器上通过授予权限来跟踪用户。

使用 JWT 进行身份验证

以下是使用 JSON Web Tokens 进行身份验证的步骤：

客户端使用用户名和密码进行身份验证。
服务器在身份验证成功后，使用密钥来生成一个 JWT，并将其返回给客户端。
客户端将 JWT 存储在本地，并在每次向服务器发出请求时将其发送在 Authorization Header 中。
服务器接收到请求后，验证 JWT 的签名。如果签名有效，则允许访问，否则拒绝访问。

以下是一个使用 JWT 进行身份验证的示例代码：

-- -------------------- ---- -------
------ --- ---- ---------------
------ - -------- -------- - ---- ----------

----- ------ - -
  --- --
  ----- ----- -----
  --------- ------------
--

----- --------- - ------------

------ ----- ----- - ----- -------- ---- --------- -- -
  ----- - ----- -------- - - ---------
  -- ----- --- ----------- -- -------- --- ---------------- -
    ----- ----- - ---------- --- --------- -- ---------- - ---------- ---- ---
    ---------- ----- ---
  - ---- -
    ----------------------------- -------- -- -----------
  -
--

------ ----- ---------------- - ----- -------- ---- --------- ----- -- -- ----- -- -
  ----- ------------------- - ------------------------- -- ---
  ----- ----- - --------------------------- ------

  -- -------- -
    ------ --------------------------- --- -----------
  -

  --- -
    ----- ------- - ----------------- -----------
    -------
  - ----- ------- -
    ----------------------------- --------
  -
--

在上述代码中，我们使用 JSON Web Tokens 将用户身份验证与 RESTful API 结合起来，实现了用户身份验证。

结论

在本文中，我们介绍了 JSON Web Tokens（JWT），并说明了如何在 RESTful API 中使用 JWT 进行用户身份验证。通过使用 JWT，我们可以有效地安全保护我们的 API，从而防止不法的请求直接访问 API。

使用 JSON Web Tokens 并不是唯一的保护 API 的方法。还可以使用其他方式，例如 OAuth2 等等。然而，JWT 对于我们在 RESTful API 中进行身份验证非常有用，因为它是简单而有效的，而且建立在开放标准之上。

希望本文可以帮助您更好地理解 JWT 在 RESTful API 中的应用，并且对于那些希望对 API 进行身份验证的开发人员提供了一些指导。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/674d2470a336082f25495b64