我正在尝试使用nestJS了解jwt和身份验证。 我创建了两个单独的微服务,其中一个是身份验证服务,成功登录后,客户端会获得jwt令牌,并使用此令牌可以访问另一个微服务。
这是auth服务的JwtStrategy和AuthModule的代码:
import { ExtractJwt, Strategy } from 'passport-jwt';
import { PassportStrategy } from '@nestjs/passport';
import { Injectable } from '@nestjs/common';
@Injectable()
export class JwtStrategy extends PassportStrategy(Strategy) {
constructor() {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
ignoreExpiration: false,
secretOrKey: 'secretKey'
});
}
async validate(payload: any) {
return payload;
}
}
import { Module } from '@nestjs/common';
import { AuthService } from './auth.service';
import { UsersModule } from '../users/users.module';
import { PassportModule } from '@nestjs/passport';
import { LocalStrategy } from './local.strategy';
import { JwtStrategy } from './jwt.strategy';
import { JwtModule } from '@nestjs/jwt';
import { jwtConstants } from './constants';
import { AuthController } from './auth.controller';
import * as fs from 'fs';
@Module({
imports: [
UsersModule,
PassportModule,
JwtModule.register({
secret: 'secretKey',
signOptions: { expiresIn: '1h' },
}),
],
providers: [AuthService, LocalStrategy, JwtStrategy],
exports: [AuthService],
controllers: [AuthController],
})
export class AuthModule {}
这是其他服务的代码:
import { ExtractJwt, Strategy } from 'passport-jwt';
import { PassportStrategy } from '@nestjs/passport';
import { Injectable } from '@nestjs/common';
@Injectable()
export class JwtStrategy extends PassportStrategy(Strategy) {
constructor() {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
ignoreExpiration: false,
secretOrKey: 'secretKey',
});
}
async validate(payload: any) {
return payload;
}
}
我发现对两个服务都使用相同的密钥是没有意义的(因为如果我要创建10个微服务,我不会对所有服务都使用相同的密钥),所以我创建了一个私有和公共的使用openssl键。 在AuthModule中,我复制了私钥而不是'secretKey'字符串,而在其他服务中,我复制了公钥而不是'secretKey'字符串,但是出现了401未经授权的错误。 我在这里错过了什么?为什么JwtStrategy不验证公钥?
答案 0 :(得分:3)
因为已经有好几天了,我想这已经解决了。我只是在这里加两美分给以后的读者。
问题在于JwtModule和JwtStrategy实例化。它们的配置不正确。您需要传递用于签名和验证令牌的算法以及密钥。要验证使用RS256算法是否真正生成了令牌,请检查令牌中位于https://jwt.io/的标头。由于您的代码未使用正确的算法对令牌进行签名,因此可能会显示HS256。当使用公共密钥验证令牌时,它会失败。
要使用RSA密钥对正确生成签名令牌,请执行以下操作:
身份验证模块
@Module({
imports: [
ConfigModule,
JwtModule.registerAsync({
imports: [ConfigModule],
useFactory: async (configService: ConfigService) => {
const options: JwtModuleOptions = {
privateKey: configService.get('JWT_PRIVATE_KEY'),
publicKey: configService.get('JWT_PUB LIC_KEY'),
signOptions: {
expiresIn: '3h',
issuer: '<Your Auth Service here>',
algorithm: 'RS256',
},
};
return options;
},
inject: [ConfigService],
}),
],
providers: [AuthService, JwtStrategy],
exports: [AuthService],
controllers: [AuthController],
})
export class AuthModule {}
身份验证服务
@Injectable()
export class AuthService {
constructor(
private jwtService: JwtService,
) {}
async generateToken(
user: User,
signOptions: jwt.SignOptions = {},
): Promise<AuthJwtToken> {
const payload = { sub: user.id, email: user.email, scopes: user.roles };
return {
accessToken: this.jwtService.sign(payload, signOptions),
};
}
}
JwtStrategy
@Injectable()
export class JwtStrategy extends PassportStrategy(Strategy) {
constructor(private configService: ConfigService) {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
ignoreExpiration: false,
secretOrKey: configService.get('JWT_PUBLIC_KEY'),
algorithms: ['RS256'],
});
}
async validate(payload: any) {
const { sub: userId, email, scopes: roles } = payload;
return {
id: userId,
email,
roles,
};
}
}
在您的其他微服务中,您可以使用与Auth模块中相同的JwtStrategy。
自创建分布式应用以来,您需要通过手动添加密钥或使用某些API端点公开密钥来与其他微服务共享PUBLIC_KEY。无论哪种方式,您都必须使用 PUBLIC_KEY 来验证其他服务。您绝对不能共享或公开 PRIVATE_KEY 。
注意:以下代码假定ConfigService将提供RSA密钥对形式env。强烈建议不要签入代码中的键。