国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

首頁 web前端 js教程 在 NestJS 中使用 Passport 實(shí)現(xiàn) JWT 身份驗(yàn)證日(第 1 部分)

在 NestJS 中使用 Passport 實(shí)現(xiàn) JWT 身份驗(yàn)證日(第 1 部分)

Jan 01, 2025 am 10:25 AM

第一步

nest g 資源授權(quán)

這將進(jìn)一步要求您進(jìn)行選擇
? REST API
GraphQL(代碼優(yōu)先)
GraphQL(模式優(yōu)先)
微服務(wù)(非 HTTP)
WebSocket

選擇 REST API,這將為您生成帶有 dtos 服務(wù)控制器和模塊的整個(gè)模塊

注冊(cè)用戶

由于我們實(shí)施基于電子郵件/密碼的身份驗(yàn)證作為第一步,我們將注冊(cè)用戶。

  1. 首先驗(yàn)證以確保數(shù)據(jù)合法,并添加密碼強(qiáng)度驗(yàn)證以減輕暴力攻擊。
  2. 之后進(jìn)行消毒,以確保數(shù)據(jù)可以安全使用。
  3. 檢查數(shù)據(jù)庫中是否已存在該用戶記錄,如果存在,則表示該用戶已經(jīng)擁有帳戶,因此請(qǐng)發(fā)送此電子郵件已注冊(cè)的回復(fù)。
  4. 如果上述檢查失敗,則意味著我們需要注冊(cè)一個(gè)用戶 獲取用戶密碼并使用良好的哈希庫(如 bcrypt 或 argon2
    5. )對(duì)其進(jìn)行哈希處理
  5. 散列后將用戶記錄插入數(shù)據(jù)庫。
  6. 向用戶發(fā)送電子郵件以驗(yàn)證電子郵件是否合法。
  7. 為路由添加速率限制以避免 DDoS 攻擊

1 驗(yàn)證傳入數(shù)據(jù)

由于 Nest js 與類驗(yàn)證器等推薦的驗(yàn)證包有很強(qiáng)的集成,但根據(jù)我之前的經(jīng)驗(yàn),我在 React JS 前端使用 zod 進(jìn)行驗(yàn)證,所以我發(fā)現(xiàn)了一個(gè)很棒的
Nest js 生態(tài)系統(tǒng)的解決方案稱為 Nests Zod,所以我現(xiàn)在更喜歡使用這個(gè)。首先安裝庫
npm 我 Nestjs-zod

import { createZodDto } from 'nestjs-zod';
import { z } from 'zod';
const passwordStrengthRegex =
  /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/;
const registerUserSchema = z
  .object({
    email: z.string().email(),
    password: z
      .string()
      .min(8)
      .regex(
        passwordStrengthRegex,
        'Password must contain at least one uppercase letter, one lowercase letter, one number, and one special character',
      ),
    confirmPassword: z.string().min(8),
  })
  .refine((data) => data.password === data.confirmPassword, {
    message: 'Passwords do not match',
  });

export class RegisterUserDto extends createZodDto(registerUserSchema) {}

然后在路線上應(yīng)用驗(yàn)證管道

import { Controller, Post, Body, Version, UsePipes } from '@nestjs/common';
import { AuthService } from './auth.service';
import { RegisterUserDto } from './dto/register.dto';
import { ZodValidationPipe } from 'nestjs-zod';

@Controller('auth')
export class AuthController {
  constructor(private readonly authService: AuthService) {}

  @Version('1')
  @Post()
  @UsePipes(ZodValidationPipe)
  async registerUser(@Body() registerUserDto: RegisterUserDto) {
    return await this.authService.registerUser(registerUserDto);
  }
}

如果我們提供的所有輸入均正確

Day Implementing JWT Authentication in NestJS with Passport (Part 1)

這樣我們就完成了第一步

讓我們清理數(shù)據(jù)

我們有三個(gè)輸入

  • 密碼:通常密碼不應(yīng)該被清理,因?yàn)樗鼈冇肋h(yuǎn)不會(huì)發(fā)送并顯示到前端,即使有人向密碼發(fā)送惡意腳本,最終它也會(huì)被散列,不需要
  • 確認(rèn)密碼:與上面的故事相同
  • 電子郵件:是的,電子郵件會(huì)發(fā)送并呈現(xiàn)給客戶端,因此電子郵件字段必須進(jìn)行清理以減輕注入和腳本攻擊

但是我們明確添加了電子郵件:z.string().email(),這對(duì)于這個(gè)用例來說已經(jīng)足夠了
Day Implementing JWT Authentication in NestJS with Passport (Part 1)

但是為了增加額外的安全性,我們可以添加一個(gè)消毒層

import { createZodDto } from 'nestjs-zod';
import { z } from 'zod';
import * as xss from 'xss'; 

const passwordStrengthRegex =
  /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/;

const registerUserSchema = z
  .object({
    email: z.string().transform((input) => xss.filterXSS(input)), // Sanitizing input using xss
    password: z
      .string()
      .min(8)
      .regex(
        passwordStrengthRegex,
        'Password must contain at least one uppercase letter, one lowercase letter, one number, and one special character',
      ),
    confirmPassword: z.string().min(8),
  })
  .refine((data) => data.password === data.confirmPassword, {
    message: 'Passwords do not match',
  });

export class RegisterUserDto extends createZodDto(registerUserSchema) {}

Day Implementing JWT Authentication in NestJS with Passport (Part 1)

這是我們?cè)俅翁砑踊貋淼臏y試

電子郵件:z
.string()
.email()

步驟3,4,5 

import { createZodDto } from 'nestjs-zod';
import { z } from 'zod';
const passwordStrengthRegex =
  /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/;
const registerUserSchema = z
  .object({
    email: z.string().email(),
    password: z
      .string()
      .min(8)
      .regex(
        passwordStrengthRegex,
        'Password must contain at least one uppercase letter, one lowercase letter, one number, and one special character',
      ),
    confirmPassword: z.string().min(8),
  })
  .refine((data) => data.password === data.confirmPassword, {
    message: 'Passwords do not match',
  });

export class RegisterUserDto extends createZodDto(registerUserSchema) {}

需要注意的要點(diǎn)我剛剛返回了一條成功消息,沒有相關(guān)數(shù)據(jù)
像 ID 或電子郵件一樣向用戶發(fā)送,因?yàn)樵诖瞬襟E中不需要向用戶發(fā)送回?cái)?shù)據(jù)。注冊(cè)后,用戶將被重定向到登錄頁面以填寫詳細(xì)信息,因此避免發(fā)送不必要的數(shù)據(jù)是一個(gè)很好的安全實(shí)踐

Day Implementing JWT Authentication in NestJS with Passport (Part 1)

速率限制

在nestjs中實(shí)現(xiàn)速率限制非常簡單,只需安裝nestjs/throttler并進(jìn)行全局配置即可。
要安裝包,請(qǐng)運(yùn)行 npm i --save @nestjs/throttler

import { Controller, Post, Body, Version, UsePipes } from '@nestjs/common';
import { AuthService } from './auth.service';
import { RegisterUserDto } from './dto/register.dto';
import { ZodValidationPipe } from 'nestjs-zod';

@Controller('auth')
export class AuthController {
  constructor(private readonly authService: AuthService) {}

  @Version('1')
  @Post()
  @UsePipes(ZodValidationPipe)
  async registerUser(@Body() registerUserDto: RegisterUserDto) {
    return await this.authService.registerUser(registerUserDto);
  }
}

然后添加nestjsthrottleguard作為全局守衛(wèi)

import { createZodDto } from 'nestjs-zod';
import { z } from 'zod';
import * as xss from 'xss'; 

const passwordStrengthRegex =
  /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/;

const registerUserSchema = z
  .object({
    email: z.string().transform((input) => xss.filterXSS(input)), // Sanitizing input using xss
    password: z
      .string()
      .min(8)
      .regex(
        passwordStrengthRegex,
        'Password must contain at least one uppercase letter, one lowercase letter, one number, and one special character',
      ),
    confirmPassword: z.string().min(8),
  })
  .refine((data) => data.password === data.confirmPassword, {
    message: 'Passwords do not match',
  });

export class RegisterUserDto extends createZodDto(registerUserSchema) {}

就是這里

import {
  BadRequestException,
  Injectable,
  InternalServerErrorException,
} from '@nestjs/common';
import { RegisterUserDto } from './dto/register.dto';
import { PrismaService } from 'src/prismaModule/prisma.service';
import * as argon2 from 'argon2';

@Injectable()
export class AuthService {
  constructor(private readonly prismaService: PrismaService) {}
  async registerUser(registerUserDto: RegisterUserDto) {
    // data is validate and sanitized by the registerUserDto
    const { email, password } = registerUserDto;

    try {
      // check if user already exists
      const user = await this.prismaService.user.findFirst({
        where: {
          email,
        },
      });

      if (user) {
        throw new BadRequestException('user already eists ');
      }
      //if use not exists lets hash user password
      const hashedPassword = await argon2.hash(registerUserDto.password);

      // time to create user
      const userData = await this.prismaService.user.create({
        data: {
          email,
          password: hashedPassword,
        },
      });

      if (!userData) {
        throw new InternalServerErrorException(
          'some thing went wrong while registring user',
        );
      }

      // if user is created successfully then  send email to user for email varification
      return {
        success: true,
        message: 'user created successfully',
      };
    } catch (error) {
      throw error;
    }
  }
}

因?yàn)樽?cè)用戶端點(diǎn)是一個(gè)敏感端點(diǎn)暴力破解
否則可能會(huì)發(fā)生字典攻擊,我們嚴(yán)格限制速率

發(fā)送驗(yàn)證郵件

用于向用戶發(fā)送驗(yàn)證電子郵件的使用 Resend 是一項(xiàng)非常棒的易于使用的服務(wù)。但我決定為整個(gè)通知服務(wù)創(chuàng)建一個(gè)單獨(dú)的劇集,以便每個(gè)人都更容易理解它

以上是在 NestJS 中使用 Passport 實(shí)現(xiàn) JWT 身份驗(yàn)證日(第 1 部分)的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本站聲明
本文內(nèi)容由網(wǎng)友自發(fā)貢獻(xiàn),版權(quán)歸原作者所有,本站不承擔(dān)相應(yīng)法律責(zé)任。如您發(fā)現(xiàn)有涉嫌抄襲侵權(quán)的內(nèi)容,請(qǐng)聯(lián)系admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣服圖片

Undresser.AI Undress

Undresser.AI Undress

人工智能驅(qū)動(dòng)的應(yīng)用程序,用于創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用于從照片中去除衣服的在線人工智能工具。

Clothoff.io

Clothoff.io

AI脫衣機(jī)

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智能換臉工具輕松在任何視頻中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的代碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

功能強(qiáng)大的PHP集成開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級(jí)代碼編輯軟件(SublimeText3)

Java vs. JavaScript:清除混亂 Java vs. JavaScript:清除混亂 Jun 20, 2025 am 12:27 AM

Java和JavaScript是不同的編程語言,各自適用于不同的應(yīng)用場景。Java用于大型企業(yè)和移動(dòng)應(yīng)用開發(fā),而JavaScript主要用于網(wǎng)頁開發(fā)。

JavaScript評(píng)論:簡短說明 JavaScript評(píng)論:簡短說明 Jun 19, 2025 am 12:40 AM

JavascriptconcommentsenceenceEncorenceEnterential gransimenting,reading and guidingCodeeXecution.1)單inecommentsareusedforquickexplanations.2)多l(xiāng)inecommentsexplaincomplexlogicorprovideDocumentation.3)

如何在JS中與日期和時(shí)間合作? 如何在JS中與日期和時(shí)間合作? Jul 01, 2025 am 01:27 AM

JavaScript中的日期和時(shí)間處理需注意以下幾點(diǎn):1.創(chuàng)建Date對(duì)象有多種方式,推薦使用ISO格式字符串以保證兼容性;2.獲取和設(shè)置時(shí)間信息可用get和set方法,注意月份從0開始;3.手動(dòng)格式化日期需拼接字符串,也可使用第三方庫;4.處理時(shí)區(qū)問題建議使用支持時(shí)區(qū)的庫,如Luxon。掌握這些要點(diǎn)能有效避免常見錯(cuò)誤。

為什么要將標(biāo)簽放在的底部? 為什么要將標(biāo)簽放在的底部? Jul 02, 2025 am 01:22 AM

PlacingtagsatthebottomofablogpostorwebpageservespracticalpurposesforSEO,userexperience,anddesign.1.IthelpswithSEObyallowingsearchenginestoaccesskeyword-relevanttagswithoutclutteringthemaincontent.2.Itimprovesuserexperiencebykeepingthefocusonthearticl

JavaScript與Java:開發(fā)人員的全面比較 JavaScript與Java:開發(fā)人員的全面比較 Jun 20, 2025 am 12:21 AM

JavaScriptIspreferredforredforwebdevelverment,而Javaisbetterforlarge-ScalebackendsystystemsandSandAndRoidApps.1)JavascriptexcelcelsincreatingInteractiveWebexperienceswebexperienceswithitswithitsdynamicnnamicnnamicnnamicnnamicnemicnemicnemicnemicnemicnemicnemicnemicnddommanipulation.2)

JavaScript:探索用于高效編碼的數(shù)據(jù)類型 JavaScript:探索用于高效編碼的數(shù)據(jù)類型 Jun 20, 2025 am 12:46 AM

javascripthassevenfundaMentalDatatypes:數(shù)字,弦,布爾值,未定義,null,object和symbol.1)numberSeadUble-eaduble-ecisionFormat,forwidevaluerangesbutbecautious.2)

什么是在DOM中冒泡和捕獲的事件? 什么是在DOM中冒泡和捕獲的事件? Jul 02, 2025 am 01:19 AM

事件捕獲和冒泡是DOM中事件傳播的兩個(gè)階段,捕獲是從頂層向下到目標(biāo)元素,冒泡是從目標(biāo)元素向上傳播到頂層。1.事件捕獲通過addEventListener的useCapture參數(shù)設(shè)為true實(shí)現(xiàn);2.事件冒泡是默認(rèn)行為,useCapture設(shè)為false或省略;3.可使用event.stopPropagation()阻止事件傳播;4.冒泡支持事件委托,提高動(dòng)態(tài)內(nèi)容處理效率;5.捕獲可用于提前攔截事件,如日志記錄或錯(cuò)誤處理。了解這兩個(gè)階段有助于精確控制JavaScript響應(yīng)用戶操作的時(shí)機(jī)和方式。

Java和JavaScript有什么區(qū)別? Java和JavaScript有什么區(qū)別? Jun 17, 2025 am 09:17 AM

Java和JavaScript是不同的編程語言。1.Java是靜態(tài)類型、編譯型語言,適用于企業(yè)應(yīng)用和大型系統(tǒng)。2.JavaScript是動(dòng)態(tài)類型、解釋型語言,主要用于網(wǎng)頁交互和前端開發(fā)。

See all articles