JWT鉴权机制详解：前端大厂面试必备

前端大厂面试中，关于JWT（JSON Web Token）的鉴权机制是一个常见且重要的问题。JWT是一种轻量级的身份验证和授权协议，特别适合于前后端分离的现代应用架构。面试官可能会询问应聘者如何设计和实现JWT的整个流程。 首先，JWT的核心概念包括三个部分：头部（Header）、载荷（Payload）和签名（Signature）。头部包含了使用哪种算法（如HS256），以及JWT类型的信息。这个部分需要进行Base64编码，例如`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9`，算法用于确保数据的完整性和安全性。 载荷，即JWT的实际内容，通常包含用户标识（如`sub`）如ID和名称（如`"sub":"1234567890", "name":"JohnDoe"`），以及时间戳信息（如`"iat":1516239022`），表示签发时间。这部分数据也需Base64编码，如`eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ`。载荷数据的保密性依赖于签名。 签名是为了防止数据被篡改，通常通过与secretKey一起使用HMACSHA256算法生成。签名计算公式为：`Signature=HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey)`。如果数据被修改，由于密钥未公开，签名将不再匹配，从而验证失败。 实现JWT鉴权机制的步骤如下： 1. **登录认证**：用户输入正确的账号和密码后，服务器会验证这些信息。如果验证通过，服务器生成一个新的JWT，包含用户信息和当前时间戳。此时，服务器会将JWT返回给客户端，并可能存储用户的secretKey以便后续验证。 2. **颁发token**：服务器将JWT以Base64编码形式发送给客户端，这个token将作为客户端访问后续受保护资源的凭证。 3. **携带和验证token**：客户端在每次需要权限控制的请求中，将JWT附加到HTTP头或Cookie中。后端服务器在接收到请求时，首先检查请求头中的token，解码并验证其签名。 - 解析头部：检查算法和JWT类型是否正确。 - 解析和验证载荷：提取用户信息和时间戳，确保没有过期（如`iat`字段）。 - 使用secretKey对头部和载荷进行签名计算，与请求中的签名进行比较，确认数据完整性和有效性。 4. **权限检查**：验证通过后，服务器根据载荷中的用户信息执行相应的权限控制操作，决定用户是否可以访问特定资源。 理解JWT的工作原理和实现流程对于前端开发者来说至关重要，因为它涉及到数据的安全传输和应用层面的权限管理。面试时，应聘者应能详细阐述JWT的各个部分、签名算法的选择、密钥管理以及如何确保数据的安全性。