interface Web
js tutoriel
Gérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants
Gérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants
Lors de la création d'API sécurisées avec JWT (JSON Web Tokens), la gestion de la déconnexion des utilisateurs peut être délicate. Étant donné que JWT est apatride, il n’existe aucun moyen prêt à l’emploi d’invalider les jetons après la déconnexion. C’est là que les listes noires et les outils comme Redis entrent en jeu. Si vous êtes nouveau dans ces concepts, ne vous inquiétez pas ! Ce guide vous expliquera tout étape par étape et vous aidera à mettre en œuvre une solution pratique.
Comprendre l'apatridie et JWT
Systèmes apatrides
- Les systèmes apatrides ne stockent aucune information de session utilisateur sur le serveur.
- Chaque requête contient toutes les données nécessaires (par exemple, un JWT) pour que le serveur la traite.
JWT
- JWT contient des données utilisateur (comme l'identifiant et le rôle) et est signé par le serveur.
- Une fois émis, le serveur n'a pas besoin de stocker le jeton ou les détails de la session.
- Problème : si un utilisateur se déconnecte, son JWT reste valide jusqu'à son expiration.
Qu'est-ce qu'une liste noire ?
Une liste noire est une liste de jetons qui ont été invalidés. Lorsqu'un utilisateur se déconnecte, son jeton est ajouté à cette liste. Chaque fois qu'une requête est effectuée, le serveur vérifie si le token est dans la liste noire. Si tel est le cas, la demande est rejetée.
Étapes pour mettre en œuvre une liste noire :
- Stockez les jetons invalidés dans une structure de données (par exemple, un tableau, un ensemble ou une base de données).
- Lors du traitement des demandes, vérifiez que le jeton n'est pas dans la liste noire.
- Ajoutez un mécanisme de nettoyage pour supprimer les jetons expirés de la liste noire.
Pourquoi Redis ?
Redis est une base de données clé-valeur en mémoire hautes performances. C'est parfait pour des cas d'utilisation comme la mise sur liste noire des JWT car :
- Vitesse : Redis peut gérer des milliers d'opérations de lecture/écriture par seconde.
- Distribué : plusieurs serveurs peuvent partager la même instance Redis pour des données cohérentes.
- TTL (Time-to-Live) : Redis peut supprimer automatiquement les entrées après une durée spécifiée.
Comment démarrer sans Redis
Si vous débutez avec ces concepts, commencez par une solution simple en mémoire :
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
Cette approche fonctionne pour les projets à petite échelle mais présente des limites. Si votre application évolue, vous aurez besoin d'une solution plus robuste comme Redis.
Premiers pas avec Redis
1. Installez Redis
- Installer Redis localement : Guide d'installation de Redis
- Vous pouvez également utiliser un service cloud comme AWS Elasticache ou Redis Cloud.
2. Intégrez Redis dans Node.js
Utilisez la bibliothèque ioredis pour interagir avec Redis dans votre application Node.js :
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
npm install ioredis
Redis vs en mémoire
| Feature | In-Memory (Set) | Redis |
|---|---|---|
| Scalability | Limited to a single server | Distributed across servers |
| Speed | Very fast | Equally fast |
| Persistence | Lost on server restart | Data persists across restarts |
| Cleanup | Manual | Automatic with TTL |
Prochaines étapes
- Apprenez les bases de Redis : comprenez les commandes telles que SETEX, GET et DEL.
- Redis sécurisé : utilisez l'authentification et la liste blanche IP.
- Optimiser la liste noire : stockez uniquement les hachages de jetons pour plus de sécurité.
Commencer simplement avec une solution en mémoire et passer progressivement à Redis vous permet de ne pas vous laisser submerger. Bon codage !
Faites-moi savoir dans les commentaires si vous avez des questions ou si vous avez besoin d'aide pour la configuration de Redis. ?
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Que dois-je faire si je rencontre l'impression de code brouillé pour les reçus en papier thermique frontal?
Apr 04, 2025 pm 02:42 PM
Des questions et des solutions fréquemment posées pour l'impression de billets thermiques frontaux pour le développement frontal, l'impression de billets est une exigence commune. Cependant, de nombreux développeurs mettent en œuvre ...
Démystifier javascript: ce qu'il fait et pourquoi c'est important
Apr 09, 2025 am 12:07 AM
JavaScript est la pierre angulaire du développement Web moderne, et ses principales fonctions incluent la programmation axée sur les événements, la génération de contenu dynamique et la programmation asynchrone. 1) La programmation axée sur les événements permet aux pages Web de changer dynamiquement en fonction des opérations utilisateur. 2) La génération de contenu dynamique permet d'ajuster le contenu de la page en fonction des conditions. 3) La programmation asynchrone garantit que l'interface utilisateur n'est pas bloquée. JavaScript est largement utilisé dans l'interaction Web, les applications à une page et le développement côté serveur, améliorant considérablement la flexibilité de l'expérience utilisateur et du développement multiplateforme.
Qui est payé plus de python ou de javascript?
Apr 04, 2025 am 12:09 AM
Il n'y a pas de salaire absolu pour les développeurs Python et JavaScript, selon les compétences et les besoins de l'industrie. 1. Python peut être davantage payé en science des données et en apprentissage automatique. 2. JavaScript a une grande demande dans le développement frontal et complet, et son salaire est également considérable. 3. Les facteurs d'influence comprennent l'expérience, la localisation géographique, la taille de l'entreprise et les compétences spécifiques.
Comment réaliser des effets de défilement de parallaxe et d'animation des éléments, comme le site officiel de Shiseido?
ou:
Comment pouvons-nous réaliser l'effet d'animation accompagné d'un défilement de page comme le site officiel de Shiseido?
Apr 04, 2025 pm 05:36 PM
La discussion sur la réalisation des effets de défilement de parallaxe et d'animation des éléments dans cet article explorera comment réaliser le site officiel de Shiseido (https://www.shiseido.co.jp/sb/wonderland/) ...
JavaScript est-il difficile à apprendre?
Apr 03, 2025 am 12:20 AM
Apprendre JavaScript n'est pas difficile, mais c'est difficile. 1) Comprendre les concepts de base tels que les variables, les types de données, les fonctions, etc. 2) Master la programmation asynchrone et les implémenter via des boucles d'événements. 3) Utilisez les opérations DOM et promettez de gérer les demandes asynchrones. 4) Évitez les erreurs courantes et utilisez des techniques de débogage. 5) Optimiser les performances et suivre les meilleures pratiques.
L'évolution de JavaScript: tendances actuelles et perspectives d'avenir
Apr 10, 2025 am 09:33 AM
Les dernières tendances de JavaScript incluent la montée en puissance de TypeScript, la popularité des frameworks et bibliothèques modernes et l'application de WebAssembly. Les prospects futurs couvrent des systèmes de type plus puissants, le développement du JavaScript côté serveur, l'expansion de l'intelligence artificielle et de l'apprentissage automatique, et le potentiel de l'informatique IoT et Edge.
Comment fusionner les éléments du tableau avec le même ID dans un seul objet en utilisant JavaScript?
Apr 04, 2025 pm 05:09 PM
Comment fusionner les éléments du tableau avec le même ID dans un seul objet en JavaScript? Lors du traitement des données, nous rencontrons souvent la nécessité d'avoir le même ID ...
Zustand Asynchronous Operation: Comment assurer le dernier État obtenu par Usestore?
Apr 04, 2025 pm 02:09 PM
Problèmes de mise à jour des données dans les opérations asynchrones de Zustand. Lorsque vous utilisez la bibliothèque de gestion de l'État de Zustand, vous rencontrez souvent le problème des mises à jour de données qui entraînent des opérations asynchrones prématurées. � ...
