0

我正在使用 JWT passaport 登录模块:

 async validateUser(userEmail: string, userPassword: string) {
    const user = await this.userService.findByEmail(userEmail);
    if (user && user.password === userPassword) {
      const { id, name, email } = user;
      return { id: id, name, email };
    }else {
      throw new UnauthorizedException({
        error: 'Incorrect username or password'
      });
    }
  }

  async login(user: any) {
    const payload = { email: user.email, sub: user.id };
    return {
      access_token: this.jwtService.sign(payload),
    };
  }

这部分正在运行。我的问题是:如何注销?我阅读了有关创建黑名单并将令牌添加到其中的信息,但是如何获取用户的访问令牌?

4

6 回答 6

4

关于基于令牌的身份验证,您应该知道的一点是它是无状态的。这意味着即使服务器也不会跟踪哪些用户已通过身份验证,就像基于会话的身份验证一样。因此,您无需在服务器端执行任何操作即可“注销”用户。您只需删除客户端上的 t\JWT 令牌。如果您向服务器应用程序发出请求,但没有有效的 JWT 令牌,它将被视为用户未登录。

于 2021-01-28T00:25:53.767 回答
1

通常,当发送注销请求时,Authorization标头应该存在,因此您可以从那里获取令牌。然后您可以将令牌保存到数据库的限制列表表中。

于 2021-01-28T00:16:21.000 回答
1

当用户单击“注销”btn 时,您应该发送一个请求,该请求附加了带有不记名令牌的授权标头。在后端,您需要提取标头并将令牌推送到黑名单令牌(作为您的解决方案)。基本上,您只需要在客户端删除令牌,这很容易做到,但在最坏的情况下,当令牌被黑客窃取时,您的令牌仍然有效。使用黑名单令牌更安全,但可能会导致性能问题和可扩展性。什么是最好的解决方案?这取决于你。

于 2021-01-28T03:47:01.613 回答
0

读取 Nestjs 执行上下文,从请求标头中获取令牌,并从 JWT 验证此令牌。

一切都在 NESTJS 链接中定义

//这里我们检查头部中的令牌是否有效或未过期

const tokenVarify = await this.jwtService.verify(token);
于 2021-01-28T12:41:30.757 回答
0

我的想法是让每个生成新令牌的白名单并在用户注销时将其删除。因此,您还需要检查每个具有令牌访问权限的用户是否存在于白名单或注释中

于 2021-12-07T02:53:32.860 回答
0

您必须使用以下命令将过期令牌刷新到 1 毫秒: https ://webera.blog/how-to-implement-refresh-tokens-jwt-in-nestjs-b8093c5642a9

于 2022-01-24T06:35:48.937 回答