Блог

Я изучаю Node.js в настоящее время из курсов Udemy, и инструктор научит нас, как настроить JWT для аутентификации пользователя в нашем веб-приложении. Мы бы настроили логику проверки и использовали POSTMAN для отправки подписанного токена, чтобы наше приложение проверяло, правильный ли это пользователь.

Дело в том, что никто не учил, как это работает в реальном приложении, потому что в курсе мы всегда добавляем токен на предъявителя вручную в наше приложение POSTMAN. В реальном приложении, как создается токен на предъявителя, чтобы я мог проверить, авторизован ли пользователь?

Извините, если этот вопрос не имеет смысла. Я новичок и изо всех сил пытаюсь объяснить проблему.

Просто для ясности, вы говорите, что «настраиваете JWT для аутентификации пользователя в нашем веб-приложении», имейте в виду, что JWT не обязательно используется для аутентификации, а скорее для авторизации. Обычно людям нравится использовать их вместе, но между ними существует определенное различие.

Допустим, вы вошли на форум, когда этот параметр очищен. На странице входа вы отправляете своего пользователя / пароль на веб-сервер, веб-сервер проверяет ваши учетные данные, а затем возвращает JWT вам, клиенту. Ваш веб-браузер сохранит токен в виде файла cookie или в локальном хранилище, а затем вы сможете использовать JWT для безопасного хэширования отправляемых вами данных для обеспечения целостности при авторизации. Имейте в виду, это не форма шифрования (но вы можете их зашифровать), JWT предназначен для проверки того, что клиент является тем, за кого они себя выдают, удерживая хэш-подпись в токене. Это защищает от атак «Человек посередине» или чего-либо еще, пытающегося подделать ваши данные до их отправки на сервер. Поскольку JWT проверяет авторизацию, удобно выполнять единый вход на многочисленных веб-страницах, а это означает, что, поскольку у вас есть токен JWT, вы можете получить доступ к любой теме форума без необходимости повторной аутентификации ваших учетных данных. Чтобы вы практически использовали это, когда вы пишете веб-страницу на стороне клиента, всякий раз, когда она делает запрос, обычно вы помещаете токен предъявителя в заголовок авторизации, который должен выглядеть следующим образом

 Authorization: Bearer <token>
  

Итак, в коде JavaScript на стороне клиента, допустим, вы отправляете запрос jQuery Ajax для комментариев темы на странице форума, которую вы только что посетили. Вы уже вошли в систему, и у вас есть наш токен на предъявителя. В запросе Ajax вы бы добавили свой токен следующим образом:

 $.ajax({
     url: "http://localhost/thread",
     headers: {"Authorization": "Bearer ${jwtToken}", //which should be fetched from from the cookie
     type: "GET",
     success: function(comments) { 
        //populate thread with comments
     }
});
  

Ваш веб-сервер должен принять этот Http-запрос, проверить токен авторизации, а затем отправить обратно комментарии. Если токен авторизации не проверен, целостность запроса нарушена, и ваш сервер должен просто проигнорировать запрос.

Ознакомьтесь с документацией для получения более подробной информации и того, как они используются:https://jwt.io/introduction /