简单JWT将额外字段添加到令牌中的有效负载数据

JSON Web Token（JWT）是一种开放标准（RFC 7519），用于在网络应用环境间安全地将信息作为JSON对象传输。JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。其中，载荷部分可以包含一些标准字段，如iss（发行人）、exp（到期时间）、sub（主题）等，同时也可以添加自定义的额外字段。

基础概念

• 头部：包含了两部分：token类型（即JWT）和采用的加密算法，例如：

{
  "alg": "HS256",
  "typ": "JWT"
}

• 载荷：存放有效信息的地方，可以添加自定义字段，例如：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "customField": "customValue"
}

• 签名：将Header和Payload分别进行Base64Url编码，然后用.连接它们，最后用.分隔的另一部分是签名，例如：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJjdXN0b21FbmFibGVkVmFsdWUiOiJjdXN0b21WYWx1ZSJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

相关优势

• 无状态：JWT自身包含了所有必要的信息，服务器不需要存储任何会话信息。
• 安全性：通过签名确保数据不被篡改。
• 跨域认证：JWT可以在不同的域之间传递，实现单点登录。

类型

• 访问令牌（Access Token）：用于授权访问资源。
• 刷新令牌（Refresh Token）：用于在访问令牌过期后获取新的访问令牌。

应用场景

• 用户认证：在用户登录后，服务器生成JWT并返回给客户端，客户端在后续请求中携带此JWT进行认证。
• 信息交换：在微服务架构中，JWT可以作为服务间安全传输信息的手段。

遇到的问题及解决方法

问题：将额外字段添加到JWT的载荷中可能会导致安全问题，例如泄露敏感信息。

原因：JWT的载荷部分是Base64Url编码的，虽然不是明文，但仍然可以被解码。如果包含敏感信息，可能会被恶意用户利用。

解决方法：

1. 避免在JWT中存储敏感信息：只存储必要的非敏感信息。
2. 使用加密：对载荷部分进行加密，确保即使被截获也无法被解密。
3. 设置合理的过期时间：减少JWT被滥用的风险。

示例代码

以下是一个使用Node.js和jsonwebtoken库生成带有自定义字段的JWT的示例：

const jwt = require('jsonwebtoken');

const payload = {
  sub: '1234567890',
  name: 'John Doe',
  customField: 'customValue'
};

const token = jwt.sign(payload, 'secretKey', { expiresIn: '1h' });

console.log(token);

参考链接： jsonwebtoken GitHub

请注意，这只是一个简单的示例，实际应用中需要根据具体需求和安全标准进行调整。