1

在我的应用程序中,在注册用户时,我在 MONGO DB 中使用这些字段保存用户名、密码和 jwt 生成的令牌。当用户尝试使用正确的凭据登录时,我将使用存储的令牌发送响应。然后在客户端(在我的控制器)我正在使用本地存储来存储令牌,以便我可以为客户端发送的每个请求发送相同的令牌。但是我发现有关此过程的一些问题:

  1. 我每次都为一个用户生成相同的令牌。因此,如果任何第三人能够获得令牌,那么他就可以访问受限页面。
  2. 我是否通过将生成的令牌存储在 MONGODB 中来浪费数据库中的空间
  3. 除用户外,任何人都可以访问存储在本地存储中的令牌。
  4. 对于我的单页应用程序中的每个请求,我再次查询 mongodb 以获取该用户的令牌并进行验证。在这里,我正在检查客户端和服务器端。

我正在使用 jwt 在我的应用程序中生成令牌、节点、Express、Mongoose

我是否遵循良好的程序。如果没有,您能否为我的方法或任何新方法提供解决方案。我已经在许多网站上搜索了基于令牌的授权和基于会话的授权,但对我没有任何帮助。注意:我是 Nodejs、AngularjS 的初学者

4

3 回答 3

1

您应该将令牌存储在高级键值缓存工具中,例如:Redis 这将显着提高性能。

您将第一次从数据库中获取令牌,然后将其存储在 Redis 中。我曾经将令牌设置为键,将用户名设置为值。下一个请求,令牌将从缓存中给出。使用 Redis,您可以为令牌设置过期时间。

于 2015-06-07T22:56:01.710 回答
0

您不想将 JWT 存储在 mongoose 中,因为它在登录时出现在标头中。您首先生成一个令牌,然后使用像 crypto 这样的模块对其进行哈希处理。

有不同的方法可以做到这一点,它们都使用处理令牌的Passport 。这是一个示例项目Satellizer

我建议您生成angular-fullstack项目。然后通过 server/auth 文件夹和 client/account 文件夹。您将看到如何在基于 MEAN 的应用程序中安全地处理身份验证。

于 2015-06-07T22:53:08.643 回答
0

当用户注册时,您需要像现在一样生成 JWT。没关系。但是,您不需要将其保存到数据库中。您没有问,但我认为密码不应以明文形式存储。在将其保存到数据库之前,您可以使用 bcrypt 进行加密。

当用户尝试使用正确的凭据登录时,我将使用存储的令牌发送响应

是的,这是正确的做法。

然后在客户端(在我的控制器中)我使用本地存储来存储令牌,以便我可以为客户端发送的每个请求发送相同的令牌。

是的,在客户端,您可以将 JWT 保存到本地存储并在后续请求中将其发送到服务器。

现在你的要点:

  1. 这样您就不会每次都拥有相同的 JWT,您可以在有效负载中包含一个“exp”声明(我假设您正在使用类似 jwt-simple 的东西来生成 JWT)。就像是:

    var payload = { sub: account.username, exp: moment().add(10, 'days').unix() }; var token = jwt.encode(payload, "secret");

  2. 您不需要将 JWT 存储在数据库中。在某些情况下,令牌颁发者(授权服务器)与资源服务器不同。资源服务器仅在请求中接收 JWT,但资源服务器无法访问授权服务器使用的数据库。旁注:如果您最终需要支持刷新令牌,即您交给客户端的 JWT 最终需要过期,那么您可以将刷新令牌存储在数据库中。刷新令牌与 JWT(访问令牌)不同。支持刷新令牌的复杂性将会增加。

  3. 本地存储不是您存储密码的地方,但它可用于存储 JWT。出于这个原因,JWT 必须并且应该在一定时间后过期。

  4. 不知道你说你检查客户端和服务器端是什么意思。当客户端需要访问资源时(再次假设资源服务器可能与授权服务器不同),唯一传递给资源服务器的是 JWT。任何人都可以解码 JWT。例如,尝试将您的 JWT 粘贴到此站点http://jwt.io/上。这就是 JWT 不应包含任何敏感数据的原因。但是,如果资源服务器知道授权服务器在对 JWT 进行编码时使用的秘密,则资源服务器可以验证签名。回到第三个项目符号,这就是为什么可以将 JWT 存储在客户端的本地存储中的原因。

更新我正在更新此内容以回答您在评论框中的一些问题。

用户单击“登录”按钮会触发 Angular 控制器向服务器发布请求,例如:

$http.post(url, {
    username: $scope.username,
    password: $scope.password
}).success(function(res) { ... })

服务器收到 POST 请求,检查用户名/密码,然后生成 JWT,并发送回浏览器。请注意,它不必将 JWT 保存到数据库中。代码将类似于

var payload = {
    sub: account.username,
    exp: moment().add(10, 'days').unix()
};
var token = jwt.encode(payload, "secret");
res.status(200).json({      
  token: token
});

回到客户端,在上面的 success() 回调中,现在您可以将 JWT 保存在本地存储中:

.success(function(res) { $window.localStorage.setItem('accessJWT', res.token) })

用户现在已通过身份验证。现在,当用户想要访问受保护的资源时,用户不必提供用户名/密码。通过可以从本地存储中检索到的 JWT,客户端现在可以使用承载方案将 JWT 放入请求的 Authorization 标头中,并将请求发送到服务器。在代码中,它会:

headers.Authorization = 'Bearer ' + token;

服务器接收请求。同样,接收此请求的服务器不必与生成上述 JWT 的服务器相同。两台服务器可以位于 2 个不同的大陆。即使您保存了上面的 JWT,这对无法访问存储 JWT 的数据库的服务器也没有任何好处。但是该服务器可以从请求的标头中提取不记名令牌,验证令牌并继续执行正常任务。

希望这可以帮助。

于 2015-06-08T00:33:50.667 回答