何时在NestJs中使用防护以及何时使用中间件
我想创建一个NestJs应用,并希望有一个中间件来验证请求对象中的令牌,并且要有一个验证卫士来验证令牌有效载荷中的用户。
通过拆分,我希望进行彻底的分离。首先是我的中间件
@Injectable()
export class TokenMiddleware implements NestMiddleware {
use(req: any, res: Response, next: NextFunction) {
try {
const headers: IncomingHttpHeaders = req.headers;
const authorization: string = headers.authorization;
const bearerToken: string[] = authorization.split(' ');
const token: string = bearerToken[1];
// !! Check if token was invalidated !!
req.token = token;
req.tokenPayload = verifyToken(token);
next();
} catch (error) {
throw new UnauthorizedException();
}
}
}
它仅验证令牌,并使用编码的令牌及其有效载荷扩展请求对象。我的身份验证管理员
@Injectable()
export class AuthenticationGuard implements CanActivate {
constructor(private readonly usersService: UsersService) {}
async canActivate(context: ExecutionContext): Promise<boolean> {
const request: any = context.switchToHttp().getRequest();
try {
const user: any = request.tokenPayload;
if (!user) {
throw new Error();
}
const findByIdDTO: FindByIdDTO = { id: user.id };
const existingUser: UserRO = await this.usersService.findById(findByIdDTO);
if (!existingUser) {
throw new Error();
}
// attach the user to the request object?
return true;
} catch (error) {
throw new UnauthorizedException();
}
}
}
此防护程序检查令牌有效载荷中提供的用户是否有效。如果一切正常,我应该在哪里将用户附加到请求对象?据我所知,警卫只会检查是否正确。但是我不想将所有这些逻辑保留在令牌中间件中。在auth Guard中完成验证后,在哪里可以将数据库用户附加到请求?
回答如下:[如果您想做类似于Passport的操作,则可以始终将用户附加到req.user,这在Node.JS世界中被视为非常标准的标准。
为您提供的另一个问题:是否有没有两个后卫立即接班的后卫?有一个警卫人员检查令牌是否存在并且确实是有效令牌,并且有一个用于验证令牌中的用户确实有效的令牌。这样,您就无需使用中间件(出于兼容性的考虑,通常将其包括在内),并且仍然具有独立的逻辑。