NestJS项目实战:JWT认证和签名认证的实现方案

已于 2025-01-12 15:36:35 修改
阅读量890 收藏 15
点赞数 20
CC 4.0 BY-SA版权
分类专栏: NEST.js 文章标签: typescript 前端 node.js
于 2025-01-09 22:09:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36597625/article/details/145043601

NestJS项目实战:JWT认证和签名认证的实现方案

前言

在后端开发中,接口安全是一个重要话题。本文结合实际项目经验,详细介绍在 NestJS 框架中如何实现和使用 JWT认证 和 签名认证 这两种主流的认证方式。

一、认证方案分析

1.1 应用场景分析

在支付系统开发中,存在两种不同的认证需求:

  1. 后台管理系统认证

    • 用户登录态管理
    • 用户身份识别
    • 权限信息携带
    • 支持登出操作

  2. 开放API认证

    • 第三方系统调用
    • 支付回调通知
    • 无需登录态
    • 请求合法性验证

1.2 认证方案对比

特性JWT认证签名认证
使用场景用户登录开放API
认证方式Token参数签名
存储需求无需存储需要密钥
可撤销性不可撤销可撤销
信息携带可携带信息不携带信息
性能开销较小较大

二、JWT认证实现

2.1 JWT基础知识

JWT(JSON Web Token)的组成部分:

  1. Header(头部)
  2. Payload(负载)
  3. Signature(签名)

标准格式:xxxxx.yyyyy.zzzzz

2.2 环境准备

bash
安装依赖包
npm install @nestjs/jwt @nestjs/passport passport passport-jwt
安装类型定义
npm install @types/passport-jwt -D

2.3 JWT模块配置

// src/auth/auth.module.ts
import { Module } from '@nestjs/common';
import { JwtModule } from '@nestjs/jwt';
import { PassportModule } from '@nestjs/passport';
import { AuthService } from './auth.service';
import { JwtStrategy } from './strategies/jwt.strategy';
@Module({
imports: [
PassportModule,
JwtModule.register({
secret: process.env.JWT_SECRET || 'your-secret-key',
signOptions: {
expiresIn: '24h',
algorithm: 'HS256'
},
}),
],
providers: [AuthService, JwtStrategy],
exports: [AuthService],
})
export class AuthModule {}

2.4 JWT策略实现

// src/auth/strategies/jwt.strategy.ts
import { ExtractJwt, Strategy } from 'passport-jwt';
import { PassportStrategy } from '@nestjs/passport';
import { Injectable, UnauthorizedException } from '@nestjs/common';
@Injectable()
export class JwtStrategy extends PassportStrategy(Strategy) {
constructor() {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
ignoreExpiration: false,
secretOrKey: process.env.JWT_SECRET || 'your-secret-key',
});
}
async validate(payload: any) {
const { userId, username } = payload;
if (!userId) {
throw new UnauthorizedException('无效的token');
}
return payload;
}
}

2.5 认证服务实现

// src/auth/auth.service.ts
import { Injectable } from '@nestjs/common';
import { JwtService } from '@nestjs/jwt';
@Injectable()
export class AuthService {
constructor(private readonly jwtService: JwtService) {}
async generateToken(user: any) {
const payload = {
userId: user.userId,
username: user.username,
roles: user.roles
};
return {
access_token: this.jwtService.sign(payload),
expires_in: 24 60 60
};
}
async verifyToken(token: string) {
try {
return this.jwtService.verify(token);
} catch (error) {
return null;
}
}
}

三、签名认证实现

3.1 签名认证流程

  1. 请求参数排序
  2. 参数和密钥拼接
  3. MD5加密生成签名
  4. 服务端验证签名

3.2 签名工具类

// src/utils/sign.util.ts
import { createHash } from 'crypto';
export class SignUtil {
static generateSign(params: Record<string, any>, apiKey: string): string {
// 1. 过滤空值和签名字段
const filteredParams = Object.entries(params)
.filter(([key, value]) => {
return key !== 'sign' &&
value !== '' &&
value !== undefined &&
value !== null;
})
.reduce((acc, [key, value]) => {
acc[key] = value;
return acc;
}, {});
// 2. 参数排序
const sortedParams = Object.keys(filteredParams)
.sort()
.reduce((acc, key) => {
acc[key] = filteredParams[key];
return acc;
}, {});
// 3. 拼接参数
let signStr = Object.entries(sortedParams)
.map(([key, value]) => ${key}=${value})
.join('&');
signStr += &key=${apiKey};
// 4. MD5加密
return createHash('md5')
.update(signStr)
.digest('hex')
.toUpperCase();
}
static verifySign(params: Record<string, any>, sign: string, apiKey: string): boolean {
const calculatedSign = this.generateSign(params, apiKey);
return calculatedSign === sign;
}
}

3.3 签名认证守卫

// src/auth/guards/sign-auth.guard.ts
import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Reflector } from '@nestjs/core';
import { SignUtil } from '../../utils/sign.util';
import { ApiKeyService } from '../services/api-key.service';
@Injectable()
export class SignAuthGuard implements CanActivate {
constructor(
private readonly reflector: Reflector,
private readonly apiKeyService: ApiKeyService
) {}
async canActivate(context: ExecutionContext): Promise<boolean> {
const request = context.switchToHttp().getRequest();
const params = { ...request.body, ...request.query };
const sign = params.sign;
const mchNo = params.mchNo;
if (!sign || !mchNo) {
return false;
}
try {
const apiKey = await this.apiKeyService.getApiKey(mchNo);
if (!apiKey) {
return false;
}
return SignUtil.verifySign(params, sign, apiKey);
} catch (error) {
console.error('签名验证失败:', error);
return false;
}
}
}```

## 四、实际应用示例

### 4.1 用户登录接口

```typescript
@Controller('sys')
export class SysController {
constructor(
private readonly authService: AuthService,
private readonly userService: UserService,
) {}
@Public()
@Post('login')
async login(@Body() loginDto: LoginDto) {
const user = await this.userService.validateUser(
loginDto.username,
loginDto.password
);
const token = await this.authService.generateToken(user);
return {
code: 0,
msg: '登录成功',
data: {
...token,
userInfo: {
userId: user.userId,
username: user.username,
roles: user.roles
}
}
};
}
}```

### 4.2 支付回调接口
```typescript
@Controller('pay')
export class PayController {
constructor(private readonly payService: PayService) {}
@SignAuth()
@Post('notify')
async payNotify(@Body() notifyDto: NotifyDto) {
try {
await this.payService.verifyNotifyData(notifyDto);
await this.payService.handlePayResult(notifyDto);
return 'success';
} catch (error) {
console.error('支付回调处理失败:', error);
return 'fail';
}
}
}

五、项目实践要点

5.1 安全性要点

  1. JWT安全

    • 定期轮换密钥
    • 合理设置过期时间
    • 关键操作二次验证
    • 刷新token机制

  2. 签名安全

    • 商户密钥隔离
    • 时间戳校验
    • 防重放处理
    • 异常日志记录

5.2 性能优化

  1. 缓存优化

    • 商户密钥缓存
    • JWT黑名单缓存
    • 用户信息缓存

  2. 计算优化

    • 签名计算优化
    • 参数排序优化
    • 验证逻辑优化

5.3 开发规范

  1. 错误处理

    • 统一错误拦截
    • 错误日志记录
    • 标准错误响应

  2. 代码组织

    • 模块化设计
    • 统一响应格式
    • 规范代码注释

六、常见问题处理

6.1 JWT问题处理

  1. Token过期处理

    • 刷新token机制
    • 过期前续期
    • 降级处理方案

  2. Token注销处理

    • token黑名单
    • Redis存储机制
    • 定期清理策略

6.2 签名问题处理

  1. 验签失败排查

    • 参数排序检查
    • 密钥正确性验证
    • 请求日志分析

  2. 重放攻击防范

    • 时间戳验证
    • 流水号机制
    • 幂等性保证

七、总结

本文详细介绍了NestJS中JWT认证和签名认证的实现方案:

  1. JWT认证适用于用户登录场景
  2. 签名认证适用于开放API接口
  3. 两种认证方式可组合使用
  4. 通过装饰器实现认证控制

参考资料

本文首发于优快云,

快递物流小程序代码实战:智能派送与全程追踪系统
s13596191285的博客
03-10 207
用户通过微信小程序可以实现寄件收件的全流程操作,包括:快递查询与物流追踪(实时获取快递状态),在线下单预约寄件(选择寄件地址快递公司),在线支付运费,电子签收确认,以及服务评价反馈等。用户可输入运单号随时查询包裹当前的物流轨迹位置 (小程序物流快递单号查询接口对接指南-腾讯云开发者社区-腾讯云在线下单时选择快递公司并预约快递员上门取件;支付环节支持微信支付等方式;当包裹送达时,收件人可以通过小程序进行电子签名确认收货,并对快递服务进行星级评价。
前端nestjs入门教程系列(五):nestjs整合jwt该怎么做
峰会路转的博客
06-04 272
相信大家对于jwt应该不陌生了,做过前后端分离的童鞋应该对jwt不陌生,但是jwt是用来干什么的呢?jwtjson web token的缩写,它是一个开放标准(RFC 7519),定义了一种紧凑且独立的方式,可以在各方通过JSON 对象安全地传输信息。此信息可以通过数字签名进行验证信任。可以使用秘密(使用HMAC算法)或使用公钥/私钥对(例如,使用RSA)对 JWT 进行签名
Nest.js权限管理系统开发(八)jwt登录
Mamong's blog
02-26 2065
虽然仅使用@nestjs/jwt就能实现身份验证的功能,但是使用passport能在更高层次上提供更多便利。Passport 拥有丰富的生态系统,实现了各种身份验证机制。虽然概念简单,但你可以选择的 Passport 策略集非常丰富且种类繁多。Passport 将这些不同的步骤抽象为一个标准模式,模块将这个模式封装并标准化为熟悉的 Nest 结构。
nestjs使用jwt
lgldl的博客
09-11 5078
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
NestJSJWT 鉴权
Superman_H的博客
02-23 1892
[Passport](https://www.passportjs.org/) 是一个 NodeJS 鉴权库 JWT 认证的交互流程:浏览器发起请求,服务端对用户名密码进行验证。如果身份验证通过,服务端会基于用户信息生成 token 字符串,并将其响应给浏览器。浏览器会将 token 字符串存储起来。往后的每次请求,浏览器都会以请求头的形式带上 token 字符串。服务端收到请求后,会解析 token 字符串。如果 token 验证通过,则正常返回数据,否则抛出错误。
NestJS学习记录-JWT认证
weixin_39179366的博客
01-07 909
使用NodeJS内置的加密模块crypto,使用 AES(高级加密系统)算法 CTR 加密方式。文档地址:NestJS 中文网Nest 是一个用于构建高效、可扩展的 Node.js 服务器端应用程序的框架。它使用渐进式 JavaScript,使用 TypeScript 构建,并结合了 OOP(面向对象编程)、FP(函数式编程) FRP(函数式反应式编程)的元素。1、在.env.development配置文件中配置2、在项目中添加一个utils模块,并手动添加一个crypto.service.ts。
学习nest.js中如何使用jwt进行身份验证,这一篇文章就够
qq_63204040的博客
06-05 2708
jwt的应用
NestJS身份验证实战:Passport与JWT结合应用
通过上述步骤代码,可以实现一个基于NestJS、PassportJWT的身份验证机制。这样的机制提供了强大的安全性灵活性,并且易于集成扩展。开发者可以利用NestJS提供的模块化设计,将身份验证逻辑与应用的其他部分...
Nest.js 实战系列第二篇-实现注册、扫码登陆、jwt认证
程序员成长指北
12-11 8242
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群大家好我是考拉????,这是Nest.js 实战系列第二篇,我要用最真实的场景让你学会使用...
NestJS与Mongoose集成的JWT认证实战教程
本资源的代码库是NestJS与Mongoose以及JWT结合使用的实践示例,可以作为学习参考的蓝本,帮助开发者快速理解掌握如何在实际项目中应用这些技术。 ### 结语 通过本资源,你可以了解到如何结合NestJS、Mongoose...
如何使用 NestJS 构建电子商务应用
分享身边生活经验blog
09-25 1007
NestJS 是用于构建服务器端应用程序的最佳 Node 框架之一。在本教程中,我们将探索如何构建一个简单的 NestJS 电子商务应用程序,并在此过程中展示 Nest 的许多主要功能。我们将介绍:开始使用我们的 NestJS 电子商务应用程序创建 NestJS 电子商务商店产品功能创建用户管理功能创建用户认证授权为我们的 NestJS 电子商务应用程序创建商店购物车功能。
Node.js-基于jsonwebtoken包用于Nest的JWT实用程序模块
08-10
基于jsonwebtoken包用于Nest的JWT实用程序模块,Nest是用于构建高效且可扩展的服务器端应用程序的渐进式Node.js框架
nestjs使用jwt完成注册、登录、全局身份验证
qq_53209510的博客
09-13 2443
最近也是在学习nestjs这一块的内容,也是看到nestjs安全这一块内容,顺便就使用jwt实现了一下注册、登录、用户密码加密对后端接口做一个统一的权限处理,注册登录功能大家都很熟悉,而接口权限统一处理,也就是咱们平时开发时,除了登录注册等一些公共接口以外的接口,需要对token进行一个验证,验证不通过则返回401,通过才去返回正确的状态码数据。方法是对用户的密码加密后的密码进行比较的,如果正确返回true,错误则返回fasle,第一个参数为登录时用户输入的密码,第二个为查出来的加密后的密码。
nestjsJWT认证实现流程
qq_35094120的博客
01-17 779
nestjsjwt认证利用了 Passport.js认证机制。要根据这个源码实现您自己的 AuthGuard,需要理解几个关键部分:如何集成 Passport.js、如何处理认证结果,以及如何使用 NestJS 的依赖注入系统。的获取方式等,以及提供验证函数供用户给出返回值。方法没有返回值或者抛出异常那么就会判断为失败。那么有了注入,那么就有提供注入的地方,这里只有。传入一些初始化参数,比如密钥,函数,该函数会调用我们定义好的。返回一个函数,该函数返回一个。解析header中的。
nestjs完整增删改查(含jwt认证,md5加密,异常捕获管道验证以及拦截器使用)
weixin_68658847的博客
12-17 657
nestjs完整增删改查(含jwt认证,md5加密,异常捕获管道验证以及拦截器使用)
NestJS JWT 使用教程
gitblog_00289的博客
08-19 496
NestJS JWT 使用教程 项目介绍 NestJS JWT 是一个基于 NestJS 框架的 JSON Web Token (JWT) 认证库。它提供了一种简单且安全的方式来处理用户认证授权。通过使用 JWT,开发者可以在客户端服务器之间安全地传输信息。 项目快速启动 安装依赖 首先,确保你已经安装了 NestJS 框架。然后,通过 npm 安装 NestJS JWT 库: npm ins...
nestjs 集成JWT
weixin_45610757的博客
03-15 344
nestjs使用jwt
NestJS 系列教程(五):守卫(Guards)与 JWT 用户认证
最新发布
weixin_43852569的博客
07-12 413
我们将讲解如何使用拦截器对响应结果统一封装、记录日志、实现响应缓存等能力。(比如 handler metadata)。的机制,通常用于认证授权。与中间件不同的是,守卫能访问。,适合做「权限控制」。
jwt单点登录_Nest.js 从零到壹系列(三):使用 JWT 实现单点登录
weixin_39646970的博客
11-21 313
本文由图雀社区认证作者布拉德特皮写作而成,点击阅读原文查看作者掘金链接,感谢作者的优质输出,让我们的技术世界变得更加美好?前言上一篇介绍了如何使用 Sequelize 连接 MySQL,接下来,在原来代码的基础上进行扩展,实现用户的注册登录功能。这里需要简单提一下两个概念 JWT 单点登录:JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值