Node.js Json Web令牌安全性[Node JS]
这篇文章只是想知道我的方法/代码是否不会带来任何开销,是否足够安全<代码>使用的技术:NodeJS、JWT、ExpressJS、mongoose(mongoDB) 以下是userschema:Node.js Json Web令牌安全性[Node JS],node.js,express,security,mongoose,jwt,Node.js,Express,Security,Mongoose,Jwt,这篇文章只是想知道我的方法/代码是否不会带来任何开销,是否足够安全使用的技术:NodeJS、JWT、ExpressJS、mongoose(mongoDB) 以下是userschema: const userSchema = mongoose.Schema({ email: { type: String, required: true }, password: { type: String, required: true }, accessToken: {
const userSchema = mongoose.Schema({
email: {
type: String,
required: true
},
password: {
type: String,
required: true
},
accessToken: {
type: String
}
});
现在,我的代码实现了以下功能:
- 每次用户登录到他的帐户时,生成的accesstoken(JWT)都会保存到用户帐户(在数据库中)。每当请求需要身份验证时,例如:
JWT发送以及GET/api/user/myprofile
头中的此请求将与已保存在DB中的令牌一起进行检查(如我前面提到的),因此没有其他人可以访问旧的有效JWT访问用户帐户。除此之外,经过身份验证的路由还具有一个中间件功能,用于验证JWT,这是必不可少的授权
- 对
端点也执行相同的检查。如果授权标头中的令牌(JWT)与用户数据库中的令牌(JWT)不同,则会抛出403错误,因此具有有效令牌的攻击者无法连续注销用户/logout
谢谢。我相信你的申请已经。。。有一点改进的潜力。看: