如何使用 NestJS 集成 Passort 和 JWT Token 实现 HTTP 接口的权限管理

最新推荐文章于 2024-05-31 19:40:55 发布
最新推荐文章于 2024-05-31 19:40:55 发布
阅读量1.7k 收藏 25
点赞数 41
分类专栏: NestJS 最佳实践手册 文章标签: http 数据库 服务器 nest.js passort jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37890289/article/details/135142609
版权

💡 如果你不希望其他人可以随意进出你的房子,那么你需要给你的房子上个锁。

前言

开发一个接口很容易,开发一个具有安全性的接口却不容易。成熟的后端服务项目最注重的一点就是如何保护系统的数据安全,不能让用户无脑的访问操作所有的数据,这是不合理更是极度危险的行为。

NestJS 作为企业级后端开发框架,自然会提供一套权限校验的方案,本文基于NestJS的passort方案,结合 jwt token 完成对系统服务的保护。

操作步骤

💡 给你的服务装上防盗锁,只允许有钥匙的人进入。

一、安装依赖库

首先需要在nestjs项目中安装特定的依赖库

npm install @nestjs/passport passport @nestjs/jwt passport-jwt -S
npm install @types/passport-jwt -D

二、引入 Passort 和 JWT 模块

身份认证是由passort模块提供主要框架,具体的校验能力我选择通过jwt完成用户信息验证,即引入jwt相关的nestjs模块;

import { PassportModule } from '@nestjs/passport';
import { JwtModule } from '@nestjs/jwt';

@Module({
  imports: [
    PassportModule.register({ defaultStrategy: 'jwt' }),
    JwtModule.register({
      secret: 'your-secret-key', // TODO: 你需要放入自己的密钥,或者从环境变量中提取
      signOptions: { expiresIn: '1d' }, // 这是可选的
    }),
  ],
  providers: [AuthService, JwtStrategy],
})
export class AuthModule {}

三、创建 JWT 策略

需要创建一个JWT策略,这个策略服务是用于处理JWT的校验与解析。

import { PassportStrategy } from '@nestjs/passport';
import { ExtractJwt, Strategy } from 'passport-jwt';
import { Injectable, UnauthorizedException } from '@nestjs/common';

@Injectable()
export class JwtStrategy extends PassportStrategy(Strategy) {
  constructor() {
    super({
      jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
      ignoreExpiration: false,
      secretOrKey: 'your-secret-key', // TODO: Replace with your key
    });
  }

  async validate(payload: any) {
    // TODO: Add your validation logic
  }
}

四、Controller方法使用验证装饰器

当完成JWT策略创建并注入到AppModule模块,即可在服务接口上使用 AuthGurd 装饰器进行用户身份的验证。

import { Controller, Get, UseGuards, Request } from '@nestjs/common';
import { AuthGuard } from '@nestjs/passport';

@Controller()
export class AppController {
  constructor() {}

  @UseGuards(AuthGuard('jwt'))
  @Get()
  getHomeInfo() {
    return {
      code: 0,
      message: 'ok',
      data: {
        name: 'https://www.levenx.com',
      },
    };
  }
}

访问 http://localhost:3000

Passort 和 JWT Token 实现 HTTP 接口的权限管理

由此发现请求首先会经过JWT策略的身份验证,需要保证请求的header中包含 Authorization 字段。

五、生成 JWT Token

步骤五的截图中看到,当客户端没有做任何处理就发起请求时,直接被passport拦截并返回401。

为了通过身份验证拦截,客户端发起请求时需要在请求Header上携带 Authorization字段,并且value值必需满足 Bearer + jwt token 格式,具体实现可参考:

fetch('http://localhost:3000', {
  headers: {
    'Authorization': `Bearer ${jwtToken}`
  }
})

客户端如何获取到**jwt token**字符串?

从步骤二中,我们已经在AppModule引入了 JwtModule,它在全局提供了生成JWT Token的服务 JwtService,通过 JwtService即可生成JWT Token字符串。

import { JwtService } from '@nestjs/jwt';
import { Injectable } from '@nestjs/common';

@Injectable()
export class AuthService {
  constructor(private readonly jwtService: JwtService) {}

  async sign() {
    return this.jwtService.sign({ userId: 123456 });
  }
}

@Controller()
export class AutoController {

  @Inject(AuthService)
  private readonly authService: AuthService;

  @Get('/login')
  async login() {
    const token = await this.authService.sign();
    return {
      code: 0,
      message: 'ok',
      data: {
        token,
      },
    };
  }

}

通过访问 http://localhost:3000/login获取JWT Token字符串

Untitled.png

客户端获取到 Token 字符串后需要持久化保存起来,并且后续接口请求Header中携带上。如果JWT 是合法有效、在有效期内,通过了AuthGuard的校验,即可正常访问受保护的接口。如果JWT无效,AuthGuard会拦截请求,用户会收到401错误码。

总结

本文介绍了如何对请求进行信息校验,对于没有携带Token的请求进行防御性拦截,这保证了基础的保护作用。但是还存在其他更细致的权限问题没有解决,比如不同的用户对于资源有不同的操作权限(有的用户只能查看资源,有的用户可以修改删除资源),这类问题需要我们对每个用户的权限进行更加清晰的管理。

很快我会输出一篇关于NestJS如何细粒度的权限管理的实操教程,敬请关注。

乐闻x
关注
  • 41
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nestjs+mongodb】- 全栈- passport策略的用户登录
WarrenLee的博客
03-10 877
有上面的代码可知,我们需要取到jwt token校验后的user属性,因此我们需要封装对应装饰器去取到,由于该currentUser装饰器的逻辑简单,只需要取对应req的user即可import {import {
[NestJs]用户鉴权的简单使用
w84647517的博客
01-31 560
除了其强大的性能和可扩展性,NestJS的鉴权机制也使得它在构建安全的应用程序方面具有显著优势。通过守卫(Guards)和授权模块,NestJS简化了用户鉴权的过程,使开发者能够专注于业务逻辑,而不是安全细节。一旦您创建了守卫类,您需要将其应用于特定的路由或控制器方法。例如,如果您有一个UserController并希望限制对特定方法的访问,可以在该方法上使用@UseGuards(AuthGuard)装饰器。守卫类是一个使用@Injectable()装饰器的类,并实现了CanActivate接口
如何基于OAuth2授权框架实现授权服务器使用Node.js设计开发)
azurelaker的博客
09-20 562
OAuth是一个安全授权框架,支持在不同程序(或者微服务)间的资源访问,也可以在OAuth体系下实现单点登录的功能。OAuth安全框架中包括四个角色:资源拥有者,授权服务器,资源服务器,客户端程序。OAuth安全框架主要说明了这四个角色间的交互流程,以及授权服务器应该具有的能力。OAuth框架是非常灵活和高度可扩展的,一些组件,如token结构组件或者加密算法都是可插拔,可以根据场景需求进行集成。OAuth框架由众多的RFC协议定义,其核心是授权服务器的能力和token使用,由于其灵活性,其适用范围比较广
使用 NestJS 实现 API 模板:JWT 身份验证一步到位
gitblog_00042的博客
04-27 311
使用 NestJS 实现 API 模板:JWT 身份验证一步到位 项目地址:https://gitcode.com/Tony133/nestjs-api-boilerplate-jwt 项目简介 在软件开发中,快速启动新项目的模板或 boilerplate 是开发者们的福音。Tony133/nestjs-api-boilerplate-jwt 就是这样一个项目,它提供了一个基于 NestJS 的 ...
springboot的模块化开发,集成shiro+jwt实现restful接口token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于springboot+springSecurity+jwt实现的基于token权限管理
02-24
这是一个使用了springboot+springSecurity+jwt实现的基于token权限管理的一个demo
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
nestJs基础使用
Iosersa的博客
06-17 3352
nestjs简单使用,并进行curd操作
一篇文章学会如何使用 NestJS 的 Guards 守卫实现系统用户身份验证和授权
乐闻世界
01-01 1188
当我们基于NestJS框架构建和管理应用程序时,为了保障其安全性,我们常常需要对某些敏感操作或敏感信息的访问进行限制,这是我们需要使用到守卫的地方。它作为一种可以阻止未经授权的访问的机制,对我们的应用程序起到了守护的作用。在这篇文章中,我将深入剖析 NestJS 的守卫,以帮您全面了解这个概念。我会从解释其背后的工作机制开始,接着介绍使用守卫的各种场景,并以详细的示例来演示如何在 NestJS 项目中实现使用守卫。什么是 Guards 守卫。
Nest.js权限管理系统开发(四)Swagger API接入
Mamong's blog
02-25 692
Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务()。它的主要作用是:1. 使得前后端分离开发更加方便,有利于团队协作2. 接口的文档在线自动生成,降低后端开发人员编写接口文档的负担3. 功能测试。
基于nest.js实现用户登录,token验证功能
weixin_44904995的博客
04-07 4954
基于nest.js实现用户登录,token验证功能
Nest.js权限管理系统开发(八)jwt登录
Mamong's blog
02-26 1225
虽然仅使用@nestjs/jwt就能实现身份验证的功能,但是使用passport能在更高层次上提供更多便利。Passport 拥有丰富的生态系统,实现了各种身份验证机制。虽然概念简单,但你可以选择的 Passport 策略集非常丰富且种类繁多。Passport 将这些不同的步骤抽象为一个标准模式,模块将这个模式封装并标准化为熟悉的 Nest 结构。
SqliSniper:针对HTTP Header的基于时间SQL盲注模糊测试工具
FreeBuf_的博客
05-28 769
1、基于时间的SQL盲注检测:确定HTTP Header中潜在的SQL注入漏洞;2、多线程扫描:通过并行处理提供更快的扫描能力;3、Discord通知:通过Discord webhook发送检测到的漏洞警报;4、假阳性检查:实现响应时间分析,以区分误报;5、支持自定义Payload和Header:允许用户自定义用于扫描目标的Payload和Header;在使用自定义Payload文件时,请确保你使用“%__TIME_OUT__%”设置了恰当的休眠时间。
HTTP --tcp
最新发布
m0_73280507的博客
05-31 644
tcp/ip是全球计算机以及网络设备都在使用的一种常见的分组交换网络分层协议集,客户端可以打开一条tcp/ip连接,连接到可能运行在世界各地的服务器应用程序,一旦连接建立起来了,在客户端和服务器的计算机之间交换的报文就永远不会丢失,受损或者失序。
浅谈配置元件之HTTP信息头管理器
测试人,测试魂
05-28 482
HTTP信息头管理器是JMeter中的一个配置元件(Config Element),用于控制和管理发送给服务器HTTP请求头部信息。这些头部信息可以包括但不限于Cookie、User-Agent、Accept-Language等,它们对服务器处理请求的方式有直接影响,尤其是在处理跨域请求、认证、语言偏好等方面。
使用XMLHttpRequest对象进行网络请求的步骤
祈澈菇凉
05-28 175
这就是使用XMLHttpRequest对象进行网络请求的基本步骤。现在大多数情况下会使用更简单的Fetch API或者基于Axios的库来发送网络请求,它们提供了更简洁的API和更好的错误处理等功能。如果需要设置请求头,可以在此步骤完成。
nestjs jwt设置生成新token时 旧token就失效
06-13
NestJS 中设置生成新的 JWT Token 时使旧 Token 失效,可以通过以下步骤实现: 1. 在生成 Token 时,将 Token 的过期时间设置为较短的时间,如 5 分钟。 2. 在验证 Token 时,不仅要验证 Token 的有效性,还要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐闻x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值