interface Webjs tutorielGérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutantsGérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants
Lors de la création d'API sécurisées avec JWT (JSON Web Tokens), la gestion de la déconnexion des utilisateurs peut être délicate. Étant donné que JWT est apatride, il n’existe aucun moyen prêt à l’emploi d’invalider les jetons après la déconnexion. C’est là que les listes noires et les outils comme Redis entrent en jeu. Si vous êtes nouveau dans ces concepts, ne vous inquiétez pas ! Ce guide vous expliquera tout étape par étape et vous aidera à mettre en œuvre une solution pratique.
Comprendre l'apatridie et JWT
Systèmes apatrides
- Les systèmes apatrides ne stockent aucune information de session utilisateur sur le serveur.
- Chaque requête contient toutes les données nécessaires (par exemple, un JWT) pour que le serveur la traite.
JWT
- JWT contient des données utilisateur (comme l'identifiant et le rôle) et est signé par le serveur.
- Une fois émis, le serveur n'a pas besoin de stocker le jeton ou les détails de la session.
- Problème : si un utilisateur se déconnecte, son JWT reste valide jusqu'à son expiration.
Qu'est-ce qu'une liste noire ?
Une liste noire est une liste de jetons qui ont été invalidés. Lorsqu'un utilisateur se déconnecte, son jeton est ajouté à cette liste. Chaque fois qu'une requête est effectuée, le serveur vérifie si le token est dans la liste noire. Si tel est le cas, la demande est rejetée.
Étapes pour mettre en œuvre une liste noire :
- Stockez les jetons invalidés dans une structure de données (par exemple, un tableau, un ensemble ou une base de données).
- Lors du traitement des demandes, vérifiez que le jeton n'est pas dans la liste noire.
- Ajoutez un mécanisme de nettoyage pour supprimer les jetons expirés de la liste noire.
Pourquoi Redis ?
Redis est une base de données clé-valeur en mémoire hautes performances. C'est parfait pour des cas d'utilisation comme la mise sur liste noire des JWT car :
- Vitesse : Redis peut gérer des milliers d'opérations de lecture/écriture par seconde.
- Distribué : plusieurs serveurs peuvent partager la même instance Redis pour des données cohérentes.
- TTL (Time-to-Live) : Redis peut supprimer automatiquement les entrées après une durée spécifiée.
Comment démarrer sans Redis
Si vous débutez avec ces concepts, commencez par une solution simple en mémoire :
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
Cette approche fonctionne pour les projets à petite échelle mais présente des limites. Si votre application évolue, vous aurez besoin d'une solution plus robuste comme Redis.
Premiers pas avec Redis
1. Installez Redis
- Installer Redis localement : Guide d'installation de Redis
- Vous pouvez également utiliser un service cloud comme AWS Elasticache ou Redis Cloud.
2. Intégrez Redis dans Node.js
Utilisez la bibliothèque ioredis pour interagir avec Redis dans votre application Node.js :
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
npm install ioredis
Redis vs en mémoire
| Feature | In-Memory (Set) | Redis |
|---|---|---|
| Scalability | Limited to a single server | Distributed across servers |
| Speed | Very fast | Equally fast |
| Persistence | Lost on server restart | Data persists across restarts |
| Cleanup | Manual | Automatic with TTL |
Prochaines étapes
- Apprenez les bases de Redis : comprenez les commandes telles que SETEX, GET et DEL.
- Redis sécurisé : utilisez l'authentification et la liste blanche IP.
- Optimiser la liste noire : stockez uniquement les hachages de jetons pour plus de sécurité.
Commencer simplement avec une solution en mémoire et passer progressivement à Redis vous permet de ne pas vous laisser submerger. Bon codage !
Faites-moi savoir dans les commentaires si vous avez des questions ou si vous avez besoin d'aide pour la configuration de Redis. ?
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
L'évolution de JavaScript: tendances actuelles et perspectives d'avenirApr 10, 2025 am 09:33 AMLes dernières tendances de JavaScript incluent la montée en puissance de TypeScript, la popularité des frameworks et bibliothèques modernes et l'application de WebAssembly. Les prospects futurs couvrent des systèmes de type plus puissants, le développement du JavaScript côté serveur, l'expansion de l'intelligence artificielle et de l'apprentissage automatique, et le potentiel de l'informatique IoT et Edge.
Démystifier javascript: ce qu'il fait et pourquoi c'est importantApr 09, 2025 am 12:07 AMJavaScript est la pierre angulaire du développement Web moderne, et ses principales fonctions incluent la programmation axée sur les événements, la génération de contenu dynamique et la programmation asynchrone. 1) La programmation axée sur les événements permet aux pages Web de changer dynamiquement en fonction des opérations utilisateur. 2) La génération de contenu dynamique permet d'ajuster le contenu de la page en fonction des conditions. 3) La programmation asynchrone garantit que l'interface utilisateur n'est pas bloquée. JavaScript est largement utilisé dans l'interaction Web, les applications à une page et le développement côté serveur, améliorant considérablement la flexibilité de l'expérience utilisateur et du développement multiplateforme.
Python ou JavaScript est-il meilleur?Apr 06, 2025 am 12:14 AMPython est plus adapté à la science des données et à l'apprentissage automatique, tandis que JavaScript est plus adapté au développement frontal et complet. 1. Python est connu pour sa syntaxe concise et son écosystème de bibliothèque riche, et convient à l'analyse des données et au développement Web. 2. JavaScript est le cœur du développement frontal. Node.js prend en charge la programmation côté serveur et convient au développement complet.
Comment installer JavaScript?Apr 05, 2025 am 12:16 AMJavaScript ne nécessite pas d'installation car il est déjà intégré à des navigateurs modernes. Vous n'avez besoin que d'un éditeur de texte et d'un navigateur pour commencer. 1) Dans l'environnement du navigateur, exécutez-le en intégrant le fichier HTML via des balises. 2) Dans l'environnement Node.js, après avoir téléchargé et installé Node.js, exécutez le fichier JavaScript via la ligne de commande.
Comment envoyer des notifications avant le début d'une tâche en quartz?Apr 04, 2025 pm 09:24 PMComment envoyer à l'avance des notifications de tâches en quartz lors de l'utilisation du minuteur de quartz pour planifier une tâche, le temps d'exécution de la tâche est défini par l'expression CRON. Maintenant...
Dans JavaScript, comment obtenir des paramètres d'une fonction sur une chaîne prototype dans un constructeur?Apr 04, 2025 pm 09:21 PMComment obtenir les paramètres des fonctions sur les chaînes prototypes en JavaScript dans la programmation JavaScript, la compréhension et la manipulation des paramètres de fonction sur les chaînes prototypes est une tâche commune et importante ...
Quelle est la raison de la défaillance du déplacement de style dynamique Vue.js dans le WECHAT Mini Program WebView?Apr 04, 2025 pm 09:18 PMAnalyse de la raison pour laquelle la défaillance du déplacement de style dynamique de l'utilisation de Vue.js dans la vue Web de l'applet WeChat utilise Vue.js ...
Comment implémenter des demandes de GET simultanées pour plusieurs liens dans Tampermonkey et déterminer les résultats de retour en séquence?Apr 04, 2025 pm 09:15 PMComment faire des demandes d'obtention simultanées pour plusieurs liens et juger en séquence pour retourner les résultats? Dans les scripts de Tampermonkey, nous devons souvent utiliser plusieurs chaînes ...
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Dreamweaver CS6
Outils de développement Web visuel
DVWA
Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel
Adaptateur de serveur SAP NetWeaver pour Eclipse
Intégrez Eclipse au serveur d'applications SAP NetWeaver.
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
ZendStudio 13.5.1 Mac
Puissant environnement de développement intégré PHP
