NestJS Cookie、Session 和 JWT 鉴权验证全面指南

2024-01-13 02:59:48

NestJS API 安全：Cookie、Session 和 JWT 的使用详解

在当今网络世界，API 安全至关重要。为了保护您的 API 免受未经授权的访问，您需要实施强大的身份验证和授权机制。NestJS 是一个流行的 Node.js 框架，它提供了内置的支持，使您能够轻松实现这些机制。

Cookie

定义：

Cookie 是服务器发送给浏览器并存储在浏览器中的数据。当浏览器再次向同一服务器发出请求时，它会将存储的 Cookie 发送回服务器。这允许服务器识别用户并跟踪他们的状态。

NestJS 中的使用：

import { Injectable, Cookie } from '@nestjs/common';

@Injectable()
export class AppService {
  constructor(@Cookie('username') private username: string) {}

  getHello(): string {
    return `Hello, ${this.username}!`;
  }
}

优点：

使用简单，受浏览器广泛支持。

缺点：

容易受到跨站脚本 (XSS) 攻击。
只可存储少量数据。

Session

定义：

Session 是服务器端存储的数据，用于跟踪用户状态。当用户登录时，服务器会创建一个 session，并将一个唯一的标识符 (ID) 发送给浏览器。当浏览器再次向同一服务器发出请求时，它会将 session ID 发送回服务器。这允许服务器识别用户并跟踪他们的状态。

NestJS 中的使用：

import { Injectable, Session } from '@nestjs/common';

@Injectable()
export class AppService {
  constructor(@Session() private session: Record<string, unknown>) {}

  getHello(): string {
    return `Hello, ${this.session.username}!`;
  }
}

优点：

可存储比 Cookie 更多的数据。
不易受到 XSS 攻击。

缺点：

需要服务器端存储，可能导致性能问题。

JWT

定义：

JWT（JSON Web Token）是一种开放标准，用于在各方之间安全地传输信息。JWT 由三部分组成：头部、载荷和签名。头部和载荷是 JSON 对象，签名是使用头部和载荷计算出的数字签名。

NestJS 中的使用：

import { Injectable, Jwt } from '@nestjs/jwt';

@Injectable()
export class AppService {
  constructor(@Jwt() private jwt: string) {}

  getHello(): string {
    return `Hello, ${this.jwt.username}!`;
  }
}