对身份验证技术的怀疑-护照

所以我在express服务器上试用了passport和passport-jwt的身份验证技术。这是我一直在使用的代码

const JwtStrategy = require("passport-jwt").Strategy;
const ExtractJwt = require("passport-jwt").ExtractJwt;
const User = require("../models/user");
const opts = {};
opts.jwtFromRequest = ExtractJwt.fromAuthHeaderAsBearerToken();
opts.secretOrKey = "secret";
module.exports = passport => {
passport.use(
new JwtStrategy(opts, (jwt_payload, done) => {
User.findById(jwt_payload.id,(err,user)=>{
if(err){
return done(err,false);
}
if(user){
done(null,user);
}
else{
done(null,false);
}
})
})
)
};

因此，使用这种护照授权的全部目的是尽量减少访问数据库的次数，对吧？

但在提取令牌后的代码中，通过findById方法访问数据库，以确定用户是否在数据库中，那么如果在每次身份验证请求期间访问数据库，那么这一切有什么意义呢？

我很确定我说错了什么，对澄清此事的一些帮助深表感谢。

问题是，为什么需要在中间件上执行User.findById？

您不必访问中间件上的数据库来从JWT负载中查找用户是否存在。当用户通过/login端点获取jwt时，您应该已经检查了用户是否存在

// just a logic example on the login enpoint
const user = User.findUserByEmail(req.body.email);
if (!user) res.sendStatus(401); //returns 401 if user not found
else {
if (verifyPassword(req.body.password, password)) {
res.send(generatedJwtWithUserIdOnThePayload)
} else {
res.sendStatus(401); //returns 401 if password invalid
}
}

登录到客户端时传递的jwt中已经有有效的用户id，因此每次客户端向其他端点发送请求时，您不需要从User.findById获取User文档。

由于用户id已经在有效负载中，除非您需要User文档中用户id之外的其他数据，否则您实际上不需要在中间件上执行User.findById

相关内容

最新更新

热门标签：