Gérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants-js tutoriel-php.cn

Gérer la déconnexion JWT avec les listes noires et Redis : un guide convivial pour les débutants

Patricia Arquette

Libérer： 2025-01-05 14:29:40

original

206 Les gens l'ont consulté

Managing JWT Logout with Blacklists and Redis: A Beginner-Friendly Guide

Lors de la création d'API sécurisées avec JWT (JSON Web Tokens), la gestion de la déconnexion des utilisateurs peut être délicate. Étant donné que JWT est apatride, il n’existe aucun moyen prêt à l’emploi d’invalider les jetons après la déconnexion. C’est là que les listes noires et les outils comme Redis entrent en jeu. Si vous êtes nouveau dans ces concepts, ne vous inquiétez pas ! Ce guide vous expliquera tout étape par étape et vous aidera à mettre en œuvre une solution pratique.

Comprendre l'apatridie et JWT

Systèmes apatrides

Les systèmes apatrides ne stockent aucune information de session utilisateur sur le serveur.
Chaque requête contient toutes les données nécessaires (par exemple, un JWT) pour que le serveur la traite.

JWT

JWT contient des données utilisateur (comme l'identifiant et le rôle) et est signé par le serveur.
Une fois émis, le serveur n'a pas besoin de stocker le jeton ou les détails de la session.
Problème : si un utilisateur se déconnecte, son JWT reste valide jusqu'à son expiration.

Qu'est-ce qu'une liste noire ?

Une liste noire est une liste de jetons qui ont été invalidés. Lorsqu'un utilisateur se déconnecte, son jeton est ajouté à cette liste. Chaque fois qu'une requête est effectuée, le serveur vérifie si le token est dans la liste noire. Si tel est le cas, la demande est rejetée.

Étapes pour mettre en œuvre une liste noire :

Stockez les jetons invalidés dans une structure de données (par exemple, un tableau, un ensemble ou une base de données).
Lors du traitement des demandes, vérifiez que le jeton n'est pas dans la liste noire.
Ajoutez un mécanisme de nettoyage pour supprimer les jetons expirés de la liste noire.

Pourquoi Redis ?

Redis est une base de données clé-valeur en mémoire hautes performances. C'est parfait pour des cas d'utilisation comme la mise sur liste noire des JWT car :

Vitesse : Redis peut gérer des milliers d'opérations de lecture/écriture par seconde.
Distribué : plusieurs serveurs peuvent partager la même instance Redis pour des données cohérentes.
TTL (Time-to-Live) : Redis peut supprimer automatiquement les entrées après une durée spécifiée.

Comment démarrer sans Redis

Si vous débutez avec ces concepts, commencez par une solution simple en mémoire :

const blacklist = new Set();

// Add token to blacklist
authController.logout = (req, res) => {
  const token = req.headers.authorization.split(" ")[1];
  blacklist.add(token);
  res.status(200).json({ message: "Logged out successfully" });
};

// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
  const token = req.headers.authorization.split(" ")[1];
  if (blacklist.has(token)) {
    return res.status(401).json({ message: "Invalid token" });
  }
  next();
};

Copier après la connexion

Cette approche fonctionne pour les projets à petite échelle mais présente des limites. Si votre application évolue, vous aurez besoin d'une solution plus robuste comme Redis.

Premiers pas avec Redis

1. Installez Redis

Installer Redis localement : Guide d'installation de Redis
Vous pouvez également utiliser un service cloud comme AWS Elasticache ou Redis Cloud.

2. Intégrez Redis dans Node.js

Utilisez la bibliothèque ioredis pour interagir avec Redis dans votre application Node.js :

const blacklist = new Set();

// Add token to blacklist
authController.logout = (req, res) => {
  const token = req.headers.authorization.split(" ")[1];
  blacklist.add(token);
  res.status(200).json({ message: "Logged out successfully" });
};

// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
  const token = req.headers.authorization.split(" ")[1];
  if (blacklist.has(token)) {
    return res.status(401).json({ message: "Invalid token" });
  }
  next();
};

Copier après la connexion

npm install ioredis

Copier après la connexion

Redis vs en mémoire

Feature	In-Memory (Set)	Redis
Scalability	Limited to a single server	Distributed across servers
Speed	Very fast	Equally fast
Persistence	Lost on server restart	Data persists across restarts
Cleanup	Manual	Automatic with TTL

Prochaines étapes

Apprenez les bases de Redis : comprenez les commandes telles que SETEX, GET et DEL.
Redis sécurisé : utilisez l'authentification et la liste blanche IP.
Optimiser la liste noire : stockez uniquement les hachages de jetons pour plus de sécurité.

Commencer simplement avec une solution en mémoire et passer progressivement à Redis vous permet de ne pas vous laisser submerger. Bon codage !

Faites-moi savoir dans les commentaires si vous avez des questions ou si vous avez besoin d'aide pour la configuration de Redis. ?

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!