如何防止用户 1 在 Nesjs 应用程序中使用护照访问用户 2 的信息?
我已经有两种策略:
使用电子邮件/密码验证用户的本地策略。受此策略保护的路由返回一个 jwt 令牌。
验证给定 jwt 令牌的 jwt 策略。
现在,我想限制对路由的访问,例如users/:id对实际上具有相同userId加密的 jwt 令牌的访问。
怎么做 ?
问问题
1035 次
2 回答
3
编辑
我正在混合身份验证和授权:一旦用户通过身份验证,我想要实现的是授权。
我不得不使用Guard:
拥有.guard.ts
@Injectable()
export class OwnGuard implements CanActivate {
canActivate(context: ExecutionContext): boolean {
const req = context.switchToHttp().getRequest();
return req.user.id === req.params.id;
}
}
然后在我的路线中使用它:
@Get(':id')
@UseGuards(OwnGuard)
async get(@Param('id') id: string) {
return await this.usersService.get(id);
}
原始答案
我所做的是基于 jwt 创建第三种策略:
@Injectable()
export class OwnStrategy extends PassportStrategy(Strategy, 'own') {
constructor() {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
secretOrKey: SECRET,
passReqToCallback: true
});
}
async validate(req: Request, payload: { sub: string }) {
if (req.params.id !== payload.sub) {
throw new UnauthorizedException();
}
return { userId: payload.sub };
}
}
请注意我如何将自定义名称“自己的”作为第二个参数传递,PassportStrategy以将其与“jwt”区分开来。它的守卫:
@Injectable()
export class OwnAuthGuard extends AuthGuard('own') {}
这行得通,但我想知道这是否是这样做的好方法......
如果以后我想为管理员用户修改用户怎么办?
我应该创建一个检查 if 的第四个策略role === Role.ADMIN || req.params.id === payload.sub吗?
我想我错过了一些东西。应该有一种方法可以创建一种策略,该策略仅验证 jwt,另一个仅验证userId,另一个仅验证角色,并在将警卫应用于我的路线时根据需要将它们组合起来。
于 2020-04-18T16:55:36.923 回答
0
同样的情况。你可以handleRequest在守卫中使用方法。
在这里您可以访问用户 auth 和 req,然后对适当的资源进行验证。查看我的代码
@Injectable()
export class JwtAuthGuard extends AuthGuard('jwt') {
canActivate(context: ExecutionContext) {
return super.canActivate(context);
}
handleRequest(err, user, info, context: ExecutionContext) {
const request = context.switchToHttp().getRequest<Request>();
const params = request.params;
if (user.id !== +params.id) {
throw new ForbiddenException();
}
return user;
}
}
在这里查看更多https://docs.nestjs.com/security/authentication#extending-guards
于 2021-09-22T05:05:13.033 回答