JWT(json web token)

JWT是URL-safe的，可以用来查询字符参数

JWT分成三部分，每部分之间用.隔开。
header.payload.signature
{
JWT的第一部分是对一个简单js对象的编码后的字符串，这个对象是用来描述这个token类型以及使用的hash算法。如下面的一个例子就是实用了HMAC SHA-256算法的JWT token
{
"typ": "JWT",
"alg": "HS256"
}
在加密之后，这个对象变成了一个字符串
eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9
}

{
    JWT的第二部分是token的核心，这部分同样是对一个js对象的编码，包含了一些摘要信息，有一些是必须的，有一些是选择性的。
    {
        "iss": "joe",
        "exp": 1300819380,
        "http://example.com/is_root: true
    }
    这个结构被称为JWT Claims Set。这个iss是issuer的简写，表明请求的实体，可以是发出请求的用户信息。exp是expires的简写，是用来制定token的生命周期。加密编码后如下:
    eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ
}

{
    JWT的第三个部分，是JWT根据第一部分和第二部分的签名(Signature)。如下所示
    dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk
}

最后将上面的合并起来，JWT token如下所示
eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ.dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk

---

<< 获取token >>

我们需要做的第一件事就是让客户端通过她们的账号密码交换token。在RESTful API里面有两种可能的方法。第一种是使用POST请求来通过验证码，使服务端发送带有token的响应。除此之外，你可以使用GET请求，这需要使用参数提供凭证(URL)，或者更好的使用请求头。

假设我们已经通过请求得到了用户名和密码。

如果用户成功验证账号和密码，就可以在服务端生成一个token，返回给用户。

    var expires = moment().add('days',7).valueOf();
    var token = jwt.encode({
        iss: user.id,
        exp: expires
    }, app.get('jwtTokenSecret'));

    res.json({
        token: token,
        expires: expires,
        user: user.toJSON()
    })

jwt.encode()有两个参数，第一个就是需要加密的对象，第二个是一个加密的秘钥。这个token是由iss和exp组成的。res.json()方法用爱传递这个JSON对象给客户端。

---

<< 验证token >>

客户端获取到token后，应该在每次向服务器请求数据时带上这个token，然后服务端验证token。
为了验证JWT，我们需要写出一些可以完成这些功能的中间件：
---检查附上的token
---试图揭秘
---验证token的可用性
---如果token是合法的，检索里面用户的信息，以及附到请求的对象上

有三个方法附带token：
1.作为请求链接(query)的参数
2.作为主体的参数(body)
3.作为请求头(header)的参数

对于最后一个，我们将使用Header x-access-token
以下是允许在中间件的代码，试图检索token

    var token = (req.body && req.body.access_token) || (req.query && req.query.access_token) || req.headers['x-access-token'];

由于访问了req.body，因此我们需要express的bodyParse()中间件
下一步，解析JWT:

    if(token){
        try{
            var decoded = jwt.decode(token, app.get('jstTokenSecret'));
            ///handle token here

        }catch(err){
            return next()
        }
    }else{
        next()
    }

如果一个合格的token合法而且被解析，应该得到两个属性，iss包含着用户的ID以及exp包含token过期的时间戳。首先处理后者，如果过期了，就拒绝掉。

    if (decoded.exp <= Date.now()) {
        res.end('Access token has expired', 400);
    }

如果token合法，可以从中检索出用户信息，并且附加到请求对象里面去

    User.findOne({ _id: decoded.iss }, function(err, user) {
        req.user = user;
    });

最后，将这个中间件附加到路由里面去：

    var jwtauth = require('./jwtauth.js');
    app.get('/something', [express.bodyParse(), jwtauth], function(req, res){
        //do something
    })

---

<< 客户端请求 >>

我们提供了一个简单的get端去获得一个远端的token。这非常直接了，所以我们不用纠结细节，就是发起一个请求，传递用户名和密码，如果请求成功了，我们就会得到一个包含着token的响应。
比如，假设我们将我们的请求使用window.localStorage.setItem('token', 'the-long-access-token')；放在本地存储(local storage)里面，我们可以通过这种方法将token附加到请求头里面

    var token = window.localStorage.setItem('token');
    if(token){
        $.ajaxSetUp({
            headers:{
                'x-access-token': token
            }       
        })
    }

当用户之前从没有登录一个网站时候，但是网站需要登录才能浏览其中的内容，此时浏览器返回401,代表着需要登录才能浏览。一旦用户输入了用户名以及密码，浏览器就会重复原来的请求。这次它会添加一个Authorization首部，说明用户名和密码。对用户名和密码进行加密

现在，服务器已经知道用户的身份了

今后的请求要使用用户名和密码时，浏览器会自动将存储下来的值发送出去，甚
至在站点没有要求发送的时候也经常会向其发送。浏览器在每次请求中都向服务 器发送 Authorization 首部作为一种身份的标识，这样，只要登录一次，就可 以在整个会话期间维持用户的身份了。