JWT 鉴权插件上线！让你的 API 更安全！

API鉴权是保证API安全性和可用性的一项重要措施。通过API鉴权，系统可以对用户或者应用进行有效的身份认证和权限管理。

除了我们之前更新的 Basic Auth 鉴权插件，这次给大家带来 JWT 鉴权插件。

JSON Web Token是一种开放标准，可以让服务器生成一个密钥签名的Token，该Token包含用户、其角色和过期时间等信息。JWT Token会发送回客户端，然后传递到后续的API请求中，以对接下来的操作进行认证和授权。

如何使用

在插件市场中找到 JWT 插件，安装

安装插件后，测试页面选中鉴权，填入数据后会自动在请求信息中添加头部 Authorization。

JWT 说明

Client Request

GET /security/somethings  HTTP/1.1
Authorization: Basic bmFtZTpwYXNzd29yZA==

包括:

头部

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "name": "Postcat",
  "introduce": "An extensible API tool."
}

WT 规定了 7 个默认字段供开发者选用。

• iss (issuer)：签发人
• exp (expiration time)：过期时间
• sub (subject)：主题
• aud (audience)：受众，相当于接受者
• nbf (Not Before)：生效的起始时间
• iat (Issued At)：签发时间
• jti (JWT ID)：编号，唯一标识

签名 Signature

对于每种加密算法，签名都对应的一个计算公式。例如 SHA256 加密算法的签名如下：

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload) + "." +
Secret
)

后续我们还会继续更新其他鉴权插件，欢迎关注！

这个项目是开源的，感兴趣的话可以给项目 Star 和 fork 一下

Github:

https://github.com/Postcatlab/postcat

Gitee:

https://gitee.com/eolink_admin/postcat

关于 Postcat

Postcat 是开源的 API 管理工具，有 API 相关的核心功能，还有丰富的插件广场，帮你快速地完成 API 的发布和测试功能。

核心功能：

1. API 文档管理，可视化 API 设计，生成 API 文档
2. API 测试， 自动生成测试参数，自动生成测试用例，可视化数据编辑
3. Mock，根据文档自动生成 Mock,或创建自定义 Mock 满足复杂场景
4. 插件拓展，众多插件扩展产品功能，打造属于你和团队的 API 开发平台
5. 团队协作，既能实现API 分享也能可以创建云空间共同协作

突出亮点：

1. 免登录即可测试，省去繁琐的验证登录的操作
2. 界面简洁，没有冗余的功能与复杂选项
3. 开源，免费，适合个人以及小团队使用
4. 丰富的插件，支持数据迁移、主题、API 安全等高达 22 款插件
5. 国产，能更好的理解国内用户的需求，沟通无障碍
6. 完善的用户文档，跟着操作就能快速上手