在我所有需要登录用户的express节点路由中,初始中间件是一个解码JWT令牌的函数。但是在令牌被解码之后,它会抓取存储在令牌中的_id或email,并进一步对我的数据库提供商mongoDB进行API调用,并试图找到与_id或email对应的用户。这意味着每次用户发出请求时,我都必须查询数据库以确定用户是否存在。仅仅解码JWT是不够的,因为如果用户被删除了怎么办?这是通过JWT令牌验证用户的正确方案吗?
_id
email
lstz6jyr1#
对此没有一个通用的解决方案,但这应该适用于大多数基本情况:1.使用MongoDB或Redis等持久存储来跟踪用户的会话。1.假设它是MongoDB。您可以有一个sessions集合,在其中可以存储{ userId, token }文档。1.现在,每当用户发出请求时,检查令牌是否已过期,如果已过期,则从集合中删除具有此令牌的所有文档。否则,检查具有该令牌的会话是否存在。如果没有,抛出一个错误。1.当用户被删除时,使用userId删除该用户的所有会话。因此,如果该用户再次发出任何请求,它将在中间件中失败,因为会话对象不存在。
sessions
{ userId, token }
userId
gg0vcinb2#
这是一个自定义索赔问题。首先为后端组件设计一个逻辑声明主体。最安全的设计使所有声明都可用于JWT中的后端,但避免将它们暴露给浏览器。在某些情况下,您可能有理由不将所有声明包含在JWT中:
在这种情况下,您可以在第一次接收到令牌时查找自定义声明,然后为使用相同令牌的后续请求缓存结果。代码有点棘手,但它很容易管理,并防止太多的数据库命中。更重要的是,它可以很好地设置您的代码,以便authorization所需的数据可以随时用于您的业务逻辑。从一生的Angular 来看,这就是JWT的工作方式。应用程序使用来自JWT的值,直到它过期。如果您担心已删除的用户,请使用短期JWT或减少缓存声明的生存时间。
2条答案
按热度按时间lstz6jyr1#
对此没有一个通用的解决方案,但这应该适用于大多数基本情况:
1.使用MongoDB或Redis等持久存储来跟踪用户的会话。
1.假设它是MongoDB。您可以有一个
sessions集合,在其中可以存储{ userId, token }文档。1.现在,每当用户发出请求时,检查令牌是否已过期,如果已过期,则从集合中删除具有此令牌的所有文档。否则,检查具有该令牌的会话是否存在。如果没有,抛出一个错误。
1.当用户被删除时,使用
userId删除该用户的所有会话。因此,如果该用户再次发出任何请求,它将在中间件中失败,因为会话对象不存在。gg0vcinb2#
这是一个自定义索赔问题。首先为后端组件设计一个逻辑声明主体。最安全的设计使所有声明都可用于JWT中的后端,但避免将它们暴露给浏览器。在某些情况下,您可能有理由不将所有声明包含在JWT中:
在这种情况下,您可以在第一次接收到令牌时查找自定义声明,然后为使用相同令牌的后续请求缓存结果。代码有点棘手,但它很容易管理,并防止太多的数据库命中。更重要的是,它可以很好地设置您的代码,以便authorization所需的数据可以随时用于您的业务逻辑。
从一生的Angular 来看,这就是JWT的工作方式。应用程序使用来自JWT的值,直到它过期。如果您担心已删除的用户,请使用短期JWT或减少缓存声明的生存时间。