前端面试你的项目进行用户身份验证

面试情景

面试官：项目中有做登录验证的功能吗？是怎么实现用户身份验证的呢？

回答：使用了jsonwebtoken这种机制，也就是jwt，如果用户是第一次登录，服务端会将用户信息用密钥签名，然后将签名附在用户信息（即payload）后面，最后生成jwt token发回给客户端。

回答：客户端下次发送请求时会携带这个jwt token，服务端对jwt token中的签名部分解密，得到用户登录信息，再和jwt token中的用户信息比对，从而验证用户身份。

面试官：你的项目中jwt选择保存在什么地方？有没有考虑安全性？

回答：前端拿到之后存储在localStorage中，每次调用接口的时候放在HTTP请求头的Authorization字段里面。但存放在web存储之中的缺点是容易遭受到XSS攻击。

当然jwt也可以存放在cookie中，可以制定httponly来防止被JavaScript读取，也可以制定secure来保证token只在HTTPS下传输。但这样做的缺点是容易遭受CSRF攻击。

面试官：说说jwt和token的区别？

jwt和token其实都会根据用户信息签名之后生成一个token发回给客户端，相似度很高，只不过使用token机制时，解密token后需要用解密出来的数据再去数据库查询用户信息；但如果使用jwt机制，jwt token中已经包含了用户信息，可以直接比对验证，不用查询数据库。

在node.js中使用jsonwebtoken

用npm工具安装完jsonwebtoken后，调用sign函数就可以对用户信息进行签名，然后直接生成最后的jwt token，调用verify函数可以对jwt token进行验证

1.  
   const jwt = require('jsonwebtoken')
2.  
   let jwtToken = jwt.sign('user1','privateKey');
3.  
   let payLoad = jwt.verify(jwtToken,'privateKey')
4.  
   console.log(jwtToken,payLoad);

但sign函数生成jwt token的细节是怎么样的呢？sign函数的第二个参数是密钥，将密钥和经过base64编码后的用户信息（实际上也包含header信息）进行拼接，然后再进行一次单向的哈希运算，就得到了签名signature。可以看出密钥在这里所扮演的角色其实就是盐值salt。

jwt token就是由表示签名算法的header，表示用户信息的payload，前两部分签名所得的signature这三部分拼接而成的，彼此之间用.隔开。

后端的一些应该在登录后才能用的接口必须被保护起来，就需要先做jwt token的验证，只有验证成功之后才允许放行去访问登录后才能请求的接口。

这篇好文章是转载于：学新通技术网