NestJS & Passport:在用户密码更改时更改JWT令牌?
基础概念
NestJS 是一个用于构建高效、可扩展的 Node.js 服务器端应用程序的框架。它使用现代 JavaScript 或 TypeScript 构建,并结合了 OOP(面向对象编程)、FP(函数式编程)和 FRP(函数式响应编程)的元素。
Passport 是一个 Node.js 的中间件,用于认证。它提供了多种策略来验证用户的身份,例如本地策略、OAuth、OpenID Connect 等。
JWT(JSON Web Token) 是一种开放标准(RFC 7519),用于在网络应用环境间安全地将信息作为 JSON 对象传输。
相关优势
- NestJS 提供了模块化、可测试性和可扩展性的优势。
- Passport 提供了灵活且强大的认证机制。
- JWT 提供了无状态、自包含的安全令牌,适合分布式系统。
类型
- JWT 有三种类型:访问令牌(Access Token)、刷新令牌(Refresh Token)和 ID 令牌(ID Token)。
应用场景
- NestJS 和 Passport 结合使用,可以实现安全的用户认证和授权。
- JWT 可以用于在客户端和服务器之间安全地传输信息。
问题:在用户密码更改时更改 JWT 令牌
当用户更改密码时,为了安全起见,应该使旧的 JWT 令牌失效。这可以通过以下几种方式实现:
方法一:使用刷新令牌
- 生成刷新令牌:在用户登录时,生成一个刷新令牌并存储在数据库中。
- 验证刷新令牌:当用户更改密码时,删除或使当前的刷新令牌失效。
- 重新生成 JWT:用户下次访问时,使用新的刷新令牌重新生成 JWT。
// 示例代码
import { Injectable } from '@nestjs/common';
import { JwtService } from '@nestjs/jwt';
import { User } from './user.entity';
@Injectable()
export class AuthService {
constructor(private jwtService: JwtService) {}
async login(user: User) {
const payload = { userId: user.id };
const accessToken = this.jwtService.sign(payload);
const refreshToken = this.generateRefreshToken(user.id);
// 存储 refreshToken 到数据库
return { accessToken, refreshToken };
}
async refreshToken(userId: string) {
const user = await User.findOne(userId);
if (!user) {
throw new Error('User not found');
}
const payload = { userId: user.id };
const accessToken = this.jwtService.sign(payload);
const refreshToken = this.generateRefreshToken(user.id);
// 更新数据库中的 refreshToken
return { accessToken, refreshToken };
}
async changePassword(userId: string) {
// 使当前的 refreshToken 失效
// 删除或更新数据库中的 refreshToken
}
private generateRefreshToken(userId: string) {
// 生成刷新令牌的逻辑
}
}方法二:使用黑名单
- 生成 JWT:在用户登录时,生成 JWT 并设置较短的有效期。
- 黑名单机制:当用户更改密码时,将旧的 JWT 加入黑名单。
- 验证 JWT:在每次请求时,检查 JWT 是否在黑名单中。
// 示例代码
import { Injectable } from '@nestjs/common';
import { JwtService } from '@nestjs/jwt';
import { User } from './user.entity';
@Injectable()
export class AuthService {
constructor(private jwtService: JwtService) {}
async login(user: User) {
const payload = { userId: user.id };
const accessToken = this.jwtService.sign(payload);
// 存储 accessToken 到黑名单(如果需要)
return { accessToken };
}
async changePassword(userId: string) {
// 将旧的 accessToken 加入黑名单
}
async verifyToken(token: string) {
// 检查 token 是否在黑名单中
// 如果在黑名单中,抛出异常
}
}参考链接
通过以上方法,可以在用户更改密码时有效地使旧的 JWT 令牌失效,从而提高系统的安全性。
相关·内容
我正在尝试为使用PassportJS在NestJS API上更改密码的用户重置/更改令牌(JWT)。这里有一个清楚的例子来说明这种授权是如何工作的:https://docs.nestjs.com/security/authentication。我想在密码更改时生成一个新的令牌,以确保在用户登录的每个设备上,
浏览 36提问于2021-11-18得票数 0
回答已采纳
作为使用Passport进行身份验证的NestJS文档,流程如下:
因此,如果登录有效负载的安全密钥被黑客攻击,则可以为所有用户生成访问令牌,而无需使用密码
浏览 2提问于2021-03-16得票数 1
我使用NestJ作为框架,使用jwt作为auth。我尝试使用用户凭据登录到端点,然后接收一个jwt令牌作为响应。之后,我使用这个令牌(无记名令牌)访问所有用户信息(下面的代码),但我得到了以下错误:[Nest] 17189 - 03/15/2021, 12:52:59 PM [ExceptionsHandlerDesktop/Work/Testing/nest-twitter-project
浏览 0提问于2021-03-15得票数 1
回答已采纳
我正在尝试为任务应用程序实现nestjs身份验证和授权 我正在对passport使用JWT策略 但是我不能实现注销方法 我试过了 @Get('/logout') req.logout();
} 它返回200,但是我仍然可以使用刚刚注销的同一用户的令牌来获取数据 我的jwt-strategy文件 import { Injectable, UnauthorizedException} from "
浏览 97提问于2020-01-01得票数 1
2回答
Nestjs与科尼图的集成
、、、、
我正在将来自认知的JWT授权集成到我的Nestjs应用程序中,我遇到了一种鸡对蛋的情况。”
ExceptionHandler JwtStrategy需要一个秘密或密钥+0ms
我一直在遵循这个指南来实现它
浏览 17提问于2020-05-02得票数 3
假设一个用户登录了并且有一个Post文档,我想保存创建和更新帖子的用户。{ type: SchemaTypes.ObjectId, ref: 'User', required: false },但是,我不知道如何在服务组件或Mongoose文档模式中从请求中读取用户
浏览 6提问于2020-06-19得票数 2
我已经创建了AccessToken (JWT令牌),我想在重置密码/更改密码时使该令牌无效(即:旧的accessToken应该是无效的,新的应该是有效的)
浏览 121提问于2018-06-06得票数 3
3回答
我在尝试授权使用jwt令牌进行身份验证的用户访问时遇到了一个问题。我遵循了在上进行身份验证的教程。我能够获得当前用户,但是当我尝试实现时,我无法访问canActivate方法中的当前用户。我会把密码贴在这里import { ExecutionContext } from "@nestjs/common";
import { GqlExecutionContext} from "
浏览 2提问于2021-03-11得票数 10
回答已采纳
我试图使用护照来验证令牌,看看用户是否可以使用端点。但是我不断地发现这个错误:因此,我一直在使用它,但我仍然找不到解决方案,我尝试了所有的nest.js正式文档和一些样本app.module.tsimport { JwtModule } from
浏览 6提问于2022-09-28得票数 0
回答已采纳
我们让JWT服务器为经过身份验证的用户生成ASP.NET令牌。服务器正在使用secret: SECRET。这些令牌被发送回我们的UI,所有的API调用都带有这个令牌。最近,我们开始用nestjs编写新的服务,并使用@nestjs/passport,passport-jwt库进行授权。我们的UI将开始使用这些新的API,因此我们希望通过ASP.NET WEB API服务器生成的相同令牌来授权
浏览 26提问于2019-07-27得票数 0
回答已采纳
1回答
这些是我拥有的部分NestJS代码片段。我正在尝试实现获取用户名和密码的passport本地策略。在使用身份验证保护时,我在控制器文件中获得了-Error:未知身份验证策略"local“。AuthModule.ts import { Module } from '@nestjs/common';
import { JwtModule } from '@nestjs/jwt&#
浏览 162提问于2021-10-31得票数 2
4回答
我正在尝试在nest应用程序中实现用于身份验证的JWT策略。我得到了以下错误jwt.strategy.tsimport { PassportStrategy} from "@nestjs/passport";
import { Strategy }
浏览 1提问于2020-02-26得票数 10
回答已采纳
我目前正在用Passport.js将JWT身份验证实现到NestJS应用程序中。import { GqlExecutionContext } from &#x
浏览 1提问于2019-03-20得票数 25
回答已采纳
1回答
在angular应用程序中,每条路线都是公开的,访客可以搜索和预订酒店,如果用户已经登录,那么我将在标题中传递JWT令牌。在NestJS (NodeJS)后端,我需要允许用户和访客访问相同的端点,比如酒店搜索和酒店预订。我使用passport-jwt作为身份验证保护,如果头中没有令牌,它将抛出未授权的异常。如何为注册用户和访客用户开启相同的路由?
浏览 14提问于2020-08-06得票数 0
1回答
我有一个rails,它将连接到我从零开始制作的nestjs。我将在rails上创建一个jwt令牌,并使用它作为授权,在两个项目上使用相同的签名。} from '@nestjs/config';import { ExtractJwt, Strategy} from 'passport</e
浏览 5提问于2022-08-03得票数 1
1回答
我正在使用NestJS作为服务,那么我就有了这个问题。我通常不处理会话和令牌。我已经能够通过本地护照实现会话,但是我在Facebook和Google OAuth登录上遇到了问题--它没有将会话保存在数据库中,而本地守卫却在保存。import { Injectable } from '@nestjs/common';im
浏览 8提问于2022-02-07得票数 0
如何组合passport-local以在身份验证成功时返回JWT令牌? , LocalStrategy = require('passport-local').Strategy;
浏览 0提问于2013-11-27得票数 90
回答已采纳
我正在处理一个NestJS项目,我需要在.env配置中使用JWT。它生成令牌,但是当尝试访问安全的url(带有授权头)时,它只返回未经授权的消息。jwt.strategy.tsimport { Injectable, UnauthorizedException, Logger } from '@nestjs/common';
import{ PassportStrategy } from '@nestjs/passport<
浏览 0提问于2019-03-13得票数 2
我尝试在nest中使用jwt,一切正常,但是验证函数在jwt.strategy.ts中不起作用@Injectable() {defaultStrategy:'jwtmysecretkey',signOptions:{exp
浏览 3提问于2021-09-20得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
