使用 JWT(JSON Web 令牌)构建安全 API 时,处理用户注销可能会很棘手。由于 JWT 是无状态的,因此没有现成的方法可以在注销后使令牌失效。这就是黑名单和 Redis 等工具发挥作用的地方。如果您对这些概念不熟悉,请不要担心!本指南将逐步解释一切,并帮助您实施实用的解决方案。
了解无状态性和 JWT
无状态系统
- 无状态系统不在服务器上存储任何用户会话信息。
- 每个请求都携带服务器处理它所需的所有必要数据(例如 JWT)。
智威汤逊
- JWT 包含用户数据(如 ID 和角色)并由服务器签名。
- 一旦发布,服务器不需要存储令牌或会话详细信息。
- 问题:如果用户注销,他们的 JWT 仍然有效,直到过期。
什么是黑名单?
黑名单是已失效的代币列表。当用户注销时,他们的令牌将添加到此列表中。每次发出请求时,服务器都会检查该令牌是否在黑名单中。如果是,则请求被拒绝。
实施黑名单的步骤:
- 将无效的标记存储在数据结构(例如数组、Set 或数据库)中。
- 处理请求时,验证token不在黑名单中。
- 添加清理机制,将过期代币从黑名单中删除。
为什么是 Redis?
Redis 是一个高性能的内存键值数据库。它非常适合将 JWT 列入黑名单等用例,因为:
- 速度:Redis 每秒可以处理数千次读/写操作。
- 分布式:多个服务器可以共享同一个Redis实例以实现数据一致。
- TTL(生存时间):Redis 可以在指定的持续时间后自动删除条目。
如何在没有 Redis 的情况下开始
如果您对这些概念不熟悉,请从简单的内存解决方案开始:
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
这种方法适用于小型项目,但有局限性。如果您的应用程序可扩展,您将需要更强大的解决方案,例如 Redis。
Redis 入门
1.安装Redis
- 本地安装Redis:Redis安装指南
- 或者,使用 AWS Elasticache 或 Redis Cloud 等云服务。
2.在Node.js中集成Redis
使用 ioredis 库与 Node.js 应用中的 Redis 交互:
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
npm install ioredis
Redis 与内存中
| Feature | In-Memory (Set) | Redis |
|---|---|---|
| Scalability | Limited to a single server | Distributed across servers |
| Speed | Very fast | Equally fast |
| Persistence | Lost on server restart | Data persists across restarts |
| Cleanup | Manual | Automatic with TTL |
下一步
- 学习 Redis 基础知识:了解 SETEX、GET 和 DEL 等命令。
- 安全 Redis:使用身份验证和 IP 白名单。
- 优化黑名单:仅存储令牌哈希以增加安全性。
从简单的内存解决方案开始,逐渐过渡到 Redis,确保您不会不知所措。快乐编码!
如果您对 Redis 设置有任何疑问或需要帮助,请在评论中告诉我。 ?
以上是使用黑名单和 Redis 管理 JWT 注销:初学者友好指南的详细内容。更多信息请关注PHP中文网其他相关文章!
在JavaScript中替换字符串字符Mar 11, 2025 am 12:07 AMJavaScript字符串替换方法详解及常见问题解答 本文将探讨两种在JavaScript中替换字符串字符的方法:在JavaScript代码内部替换和在网页HTML内部替换。 在JavaScript代码内部替换字符串 最直接的方法是使用replace()方法: str = str.replace("find","replace"); 该方法仅替换第一个匹配项。要替换所有匹配项,需使用正则表达式并添加全局标志g: str = str.replace(/fi
8令人惊叹的jQuery页面布局插件Mar 06, 2025 am 12:48 AM利用轻松的网页布局:8个基本插件 jQuery大大简化了网页布局。 本文重点介绍了简化该过程的八个功能强大的JQuery插件,对于手动网站创建特别有用
构建您自己的Ajax Web应用程序Mar 09, 2025 am 12:11 AM因此,在这里,您准备好了解所有称为Ajax的东西。但是,到底是什么? AJAX一词是指用于创建动态,交互式Web内容的一系列宽松的技术。 Ajax一词,最初由Jesse J创造
使用AJAX动态加载盒内容Mar 06, 2025 am 01:07 AM本教程演示了创建通过Ajax加载的动态页面框,从而可以即时刷新,而无需全页重新加载。 它利用jQuery和JavaScript。将其视为自定义的Facebook式内容框加载程序。 关键概念: Ajax和JQuery
10个JQuery Fun and Games插件Mar 08, 2025 am 12:42 AM10款趣味横生的jQuery游戏插件,让您的网站更具吸引力,提升用户粘性!虽然Flash仍然是开发休闲网页游戏的最佳软件,但jQuery也能创造出令人惊喜的效果,虽然无法与纯动作Flash游戏媲美,但在某些情况下,您也能在浏览器中获得意想不到的乐趣。 jQuery井字棋游戏 游戏编程的“Hello world”,现在有了jQuery版本。 源码 jQuery疯狂填词游戏 这是一个填空游戏,由于不知道单词的上下文,可能会产生一些古怪的结果。 源码 jQuery扫雷游戏
如何为JavaScript编写无曲奇会话库Mar 06, 2025 am 01:18 AM此JavaScript库利用窗口。名称属性可以管理会话数据,而无需依赖cookie。 它为浏览器中存储和检索会话变量提供了强大的解决方案。 库提供了三种核心方法:会话
jQuery视差教程 - 动画标题背景Mar 08, 2025 am 12:39 AM本教程演示了如何使用jQuery创建迷人的视差背景效果。 我们将构建一个带有分层图像的标题横幅,从而创造出令人惊叹的视觉深度。 更新的插件可与JQuery 1.6.4及更高版本一起使用。 下载
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
Dreamweaver CS6
视觉化网页开发工具
禅工作室 13.0.1
功能强大的PHP集成开发环境
安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
Atom编辑器mac版下载
最流行的的开源编辑器
