recherche

Maison >interface Web >js tutoriel >Gérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants

Gérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants

Patricia Arquette
Patricia Arquetteoriginal
2025-01-05 14:29:40206parcourir

Managing JWT Logout with Blacklists and Redis: A Beginner-Friendly Guide

Lors de la création d'API sécurisées avec JWT (JSON Web Tokens), la gestion de la déconnexion des utilisateurs peut être délicate. Étant donné que JWT est apatride, il n’existe aucun moyen prêt à l’emploi d’invalider les jetons après la déconnexion. C’est là que les listes noires et les outils comme Redis entrent en jeu. Si vous êtes nouveau dans ces concepts, ne vous inquiétez pas ! Ce guide vous expliquera tout étape par étape et vous aidera à mettre en œuvre une solution pratique.

Comprendre l'apatridie et JWT

Systèmes apatrides

  • Les systèmes apatrides ne stockent aucune information de session utilisateur sur le serveur.
  • Chaque requête contient toutes les données nécessaires (par exemple, un JWT) pour que le serveur la traite.

JWT

  • JWT contient des données utilisateur (comme l'identifiant et le rôle) et est signé par le serveur.
  • Une fois émis, le serveur n'a pas besoin de stocker le jeton ou les détails de la session.
  • Problème : si un utilisateur se déconnecte, son JWT reste valide jusqu'à son expiration.

Qu'est-ce qu'une liste noire ?

Une liste noire est une liste de jetons qui ont été invalidés. Lorsqu'un utilisateur se déconnecte, son jeton est ajouté à cette liste. Chaque fois qu'une requête est effectuée, le serveur vérifie si le token est dans la liste noire. Si tel est le cas, la demande est rejetée.

Étapes pour mettre en œuvre une liste noire :

  1. Stockez les jetons invalidés dans une structure de données (par exemple, un tableau, un ensemble ou une base de données).
  2. Lors du traitement des demandes, vérifiez que le jeton n'est pas dans la liste noire.
  3. Ajoutez un mécanisme de nettoyage pour supprimer les jetons expirés de la liste noire.

Pourquoi Redis ?

Redis est une base de données clé-valeur en mémoire hautes performances. C'est parfait pour des cas d'utilisation comme la mise sur liste noire des JWT car :

  • Vitesse : Redis peut gérer des milliers d'opérations de lecture/écriture par seconde.
  • Distribué : plusieurs serveurs peuvent partager la même instance Redis pour des données cohérentes.
  • TTL (Time-to-Live) : Redis peut supprimer automatiquement les entrées après une durée spécifiée.

Comment démarrer sans Redis

Si vous débutez avec ces concepts, commencez par une solution simple en mémoire :

const blacklist = new Set();

// Add token to blacklist
authController.logout = (req, res) => {
  const token = req.headers.authorization.split(" ")[1];
  blacklist.add(token);
  res.status(200).json({ message: "Logged out successfully" });
};

// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
  const token = req.headers.authorization.split(" ")[1];
  if (blacklist.has(token)) {
    return res.status(401).json({ message: "Invalid token" });
  }
  next();
};

Cette approche fonctionne pour les projets à petite échelle mais présente des limites. Si votre application évolue, vous aurez besoin d'une solution plus robuste comme Redis.

Premiers pas avec Redis

1. Installez Redis

  • Installer Redis localement : Guide d'installation de Redis
  • Vous pouvez également utiliser un service cloud comme AWS Elasticache ou Redis Cloud.

2. Intégrez Redis dans Node.js

Utilisez la bibliothèque ioredis pour interagir avec Redis dans votre application Node.js :

const blacklist = new Set();

// Add token to blacklist
authController.logout = (req, res) => {
  const token = req.headers.authorization.split(" ")[1];
  blacklist.add(token);
  res.status(200).json({ message: "Logged out successfully" });
};

// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
  const token = req.headers.authorization.split(" ")[1];
  if (blacklist.has(token)) {
    return res.status(401).json({ message: "Invalid token" });
  }
  next();
};

npm install ioredis

Redis vs en mémoire

Feature In-Memory (Set) Redis
Scalability Limited to a single server Distributed across servers
Speed Very fast Equally fast
Persistence Lost on server restart Data persists across restarts
Cleanup Manual Automatic with TTL

Prochaines étapes

  • Apprenez les bases de Redis : comprenez les commandes telles que SETEX, GET et DEL.
  • Redis sécurisé : utilisez l'authentification et la liste blanche IP.
  • Optimiser la liste noire : stockez uniquement les hachages de jetons pour plus de sécurité.

Commencer simplement avec une solution en mémoire et passer progressivement à Redis vous permet de ne pas vous laisser submerger. Bon codage !

Faites-moi savoir dans les commentaires si vous avez des questions ou si vous avez besoin d'aide pour la configuration de Redis. ?

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

json Array if for Session Token JS this database redis everything
Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Extension Chrome en un clic : modifiez votre arrière-plan avec style (ou chaos)Article suivant:Extension Chrome en un clic : modifiez votre arrière-plan avec style (ou chaos)

Articles Liés

Voir plus