使用 JWT(JSON Web 令牌)建立安全 API 時,處理使用者登出可能會很棘手。由於 JWT 是無狀態的,因此沒有現成的方法可以在註銷後使令牌失效。這就是黑名單和 Redis 等工具發揮作用的地方。如果您對這些概念不熟悉,請不要擔心!本指南將逐步解釋一切,並協助您實施實用的解決方案。
無狀態系統
智威湯遜
黑名單是已失效的代幣列表。當用戶登出時,他們的令牌將添加到此列表中。每次發出請求時,伺服器都會檢查該令牌是否在黑名單中。如果是,則請求被拒絕。
實施黑名單的步驟:
Redis 是一個高效能的記憶體鍵值資料庫。它非常適合將 JWT 列入黑名單等用例,因為:
如果您對這些概念不熟悉,請從簡單的記憶體解決方案開始:
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
這種方法適用於小型項目,但有其限制。如果您的應用程式可擴展,您將需要更強大的解決方案,例如 Redis。
使用 ioredis 函式庫與 Node.js 應用程式中的 Redis 互動:
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
npm install ioredis
| Feature | In-Memory (Set) | Redis |
|---|---|---|
| Scalability | Limited to a single server | Distributed across servers |
| Speed | Very fast | Equally fast |
| Persistence | Lost on server restart | Data persists across restarts |
| Cleanup | Manual | Automatic with TTL |
從簡單的記憶體解決方案開始,逐漸過渡到 Redis,確保您不會不知所措。快樂編碼!
如果您對 Redis 設定有任何疑問或需要協助,請在評論中告訴我。 ?
以上是使用黑名單和 Redis 管理 JWT 註銷:初學者友好指南的詳細內容。更多資訊請關注PHP中文網其他相關文章!
