使用 nestJS 注销 JWT
Logout JWT with nestJS
我正在使用 JWT passaport 登录模块:
async validateUser(userEmail: string, userPassword: string) {
const user = await this.userService.findByEmail(userEmail);
if (user && user.password === userPassword) {
const { id, name, email } = user;
return { id: id, name, email };
}else {
throw new UnauthorizedException({
error: 'Incorrect username or password'
});
}
}
async login(user: any) {
const payload = { email: user.email, sub: user.id };
return {
access_token: this.jwtService.sign(payload),
};
}
这部分是运行。
我的问题是:如何注销?我阅读了有关创建黑名单并向其添加令牌的信息,但如何获取用户的访问令牌?
通常,当发送注销请求时,Authorization header 应该存在,因此您可以从那里获取令牌。然后你可以将令牌保存到数据库的限制列表 table.
关于基于令牌的身份验证,您应该了解的一点是它是无状态的。这意味着即使是服务器也不会跟踪哪些用户通过了身份验证,就像基于会话的身份验证一样。因此,您无需在服务器端执行任何操作即可“注销”用户。您只需删除客户端上的 t\JWT 标记。如果您向服务器应用程序发出请求,但没有有效的 JWT 令牌,它将被视为用户未登录。
当用户点击“注销”btn 时,您应该发送一个附有授权 header 和不记名令牌的请求。在后端,您需要提取 header 并将令牌推送到黑名单令牌(作为您的解决方案)。基本上,您只需要在客户端删除令牌,这很容易做到,但在最坏的情况下,当令牌被黑客窃取时,您的令牌仍然有效。使用黑名单令牌更安全,但可能会导致性能问题和可扩展性。什么是最好的解决方案?这取决于你。
读取 Nestjs 执行上下文从请求中获取令牌 header 并从 JWT 验证此令牌。
everything defines in the NESTJS link
//这里我们检查来自header的令牌是否有效或未过期
const tokenVarify = await this.jwtService.verify(token);
我的想法是让白名单每次生成新令牌并在用户注销时将其删除。所以你还需要检查每个具有令牌访问权限的用户是否存在于白名单或注释
您必须将过期令牌刷新到 1 毫秒,方法是:
https://webera.blog/how-to-implement-refresh-tokens-jwt-in-nestjs-b8093c5642a9
我正在使用 JWT passaport 登录模块:
async validateUser(userEmail: string, userPassword: string) {
const user = await this.userService.findByEmail(userEmail);
if (user && user.password === userPassword) {
const { id, name, email } = user;
return { id: id, name, email };
}else {
throw new UnauthorizedException({
error: 'Incorrect username or password'
});
}
}
async login(user: any) {
const payload = { email: user.email, sub: user.id };
return {
access_token: this.jwtService.sign(payload),
};
}
这部分是运行。 我的问题是:如何注销?我阅读了有关创建黑名单并向其添加令牌的信息,但如何获取用户的访问令牌?
通常,当发送注销请求时,Authorization header 应该存在,因此您可以从那里获取令牌。然后你可以将令牌保存到数据库的限制列表 table.
关于基于令牌的身份验证,您应该了解的一点是它是无状态的。这意味着即使是服务器也不会跟踪哪些用户通过了身份验证,就像基于会话的身份验证一样。因此,您无需在服务器端执行任何操作即可“注销”用户。您只需删除客户端上的 t\JWT 标记。如果您向服务器应用程序发出请求,但没有有效的 JWT 令牌,它将被视为用户未登录。
当用户点击“注销”btn 时,您应该发送一个附有授权 header 和不记名令牌的请求。在后端,您需要提取 header 并将令牌推送到黑名单令牌(作为您的解决方案)。基本上,您只需要在客户端删除令牌,这很容易做到,但在最坏的情况下,当令牌被黑客窃取时,您的令牌仍然有效。使用黑名单令牌更安全,但可能会导致性能问题和可扩展性。什么是最好的解决方案?这取决于你。
读取 Nestjs 执行上下文从请求中获取令牌 header 并从 JWT 验证此令牌。
everything defines in the NESTJS link
//这里我们检查来自header的令牌是否有效或未过期
const tokenVarify = await this.jwtService.verify(token);
我的想法是让白名单每次生成新令牌并在用户注销时将其删除。所以你还需要检查每个具有令牌访问权限的用户是否存在于白名单或注释
您必须将过期令牌刷新到 1 毫秒,方法是: https://webera.blog/how-to-implement-refresh-tokens-jwt-in-nestjs-b8093c5642a9