使用 JWT(JSON Web 令牌)构建安全 API 时,处理用户注销可能会很棘手。由于 JWT 是无状态的,因此没有现成的方法可以在注销后使令牌失效。这就是黑名单和 Redis 等工具发挥作用的地方。如果您对这些概念不熟悉,请不要担心!本指南将逐步解释一切,并帮助您实施实用的解决方案。
无状态系统
智威汤逊
黑名单是已失效的代币列表。当用户注销时,他们的令牌将添加到此列表中。每次发出请求时,服务器都会检查该令牌是否在黑名单中。如果是,则请求被拒绝。
实施黑名单的步骤:
Redis 是一个高性能的内存键值数据库。它非常适合将 JWT 列入黑名单等用例,因为:
如果您对这些概念不熟悉,请从简单的内存解决方案开始:
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
这种方法适用于小型项目,但有局限性。如果您的应用程序可扩展,您将需要更强大的解决方案,例如 Redis。
使用 ioredis 库与 Node.js 应用中的 Redis 交互:
const blacklist = new Set();
// Add token to blacklist
authController.logout = (req, res) => {
const token = req.headers.authorization.split(" ")[1];
blacklist.add(token);
res.status(200).json({ message: "Logged out successfully" });
};
// Middleware to check token validity
middleware.verifyToken = (req, res, next) => {
const token = req.headers.authorization.split(" ")[1];
if (blacklist.has(token)) {
return res.status(401).json({ message: "Invalid token" });
}
next();
};
npm install ioredis
| Feature | In-Memory (Set) | Redis |
|---|---|---|
| Scalability | Limited to a single server | Distributed across servers |
| Speed | Very fast | Equally fast |
| Persistence | Lost on server restart | Data persists across restarts |
| Cleanup | Manual | Automatic with TTL |
从简单的内存解决方案开始,逐渐过渡到 Redis,确保您不会不知所措。快乐编码!
如果您对 Redis 设置有任何疑问或需要帮助,请在评论中告诉我。 ?
以上是使用黑名单和 Redis 管理 JWT 注销:初学者友好指南的详细内容。更多信息请关注PHP中文网其他相关文章!
