Guardian与GuardianDb集成:实现令牌追踪与数据库管理
Guardian与GuardianDb集成:实现令牌追踪与数据库管理
【免费下载链接】guardianElixir Authentication项目地址: https://gitcode.com/gh_mirrors/gu/guardian
在Elixir生态系统中,Guardian身份验证框架是构建安全应用的基石。作为一款强大的Elixir身份验证解决方案,Guardian提供了完整的JWT令牌管理机制,但默认情况下,它并不跟踪已颁发的令牌状态。这就是GuardianDb集成发挥作用的地方,它为Guardian添加了数据库级别的令牌追踪功能,实现了真正的令牌撤销和状态管理。
为什么需要令牌追踪? 🔍
默认的JWT令牌是无状态的,这意味着一旦令牌被颁发,应用程序就无法主动撤销它,只能等待令牌自然过期。这在很多安全敏感的场景下是不够的:
- 用户主动退出时需要立即使令牌失效
- 检测到可疑活动时需要强制撤销令牌
- 需要管理用户的会话状态
- 实现设备级别的访问控制
GuardianDb通过将令牌信息存储在数据库中,解决了这些问题。它会记录每个颁发的令牌,并在每次访问时验证令牌是否仍然有效。
Guardian的回调机制
Guardian提供了灵活的回调系统,允许你在身份验证生命周期的不同阶段插入自定义逻辑。这些回调是GuardianDb集成的基础:
on_verify- 在令牌验证成功后调用on_revoke- 在令牌撤销时调用build_claims- 构建令牌声明时调用verify_claims- 验证令牌声明时调用
在lib/guardian.ex中,Guardian定义了完整的回调接口:
@callback on_revoke( claims :: Guardian.Token.claims(), token :: Guardian.Token.token(), options :: Guardian.options() ) :: {:ok, Guardian.Token.claims()} | {:error, any}GuardianDb的工作原理
GuardianDb通过实现Guardian的回调函数来工作:
- 令牌颁发时:将新令牌记录到数据库
- 令牌验证时:检查令牌是否在数据库中被标记为有效
- 令牌撤销时:在数据库中标记令牌为无效
这种集成方式非常优雅,因为GuardianDb不需要修改Guardian的核心代码,只需要实现相应的回调接口即可。
配置GuardianDb集成
要使用GuardianDb,你需要在项目中添加依赖并进行配置:
首先,在mix.exs中添加依赖:
defp deps do [ {:guardian, "~> 2.0"}, {:guardian_db, "~> 3.0"} ] end然后,在你的Guardian实现模块中配置回调:
defmodule MyApp.Guardian do use Guardian, otp_app: :my_app # 其他配置... def on_verify(claims, token, opts) do GuardianDb.on_verify(claims, token, opts) end def on_revoke(claims, token, opts) do GuardianDb.on_revoke(claims, token, opts) end end数据库迁移
GuardianDb需要数据库表来存储令牌信息。典型的迁移文件如下:
defmodule MyApp.Repo.Migrations.CreateGuardianDbTokens do use Ecto.Migration def change do create table(:guardian_tokens, primary_key: false) do add :jti, :string, primary_key: true add :aud, :string add :typ, :string add :iss, :string add :sub, :string add :exp, :bigint add :jwt, :text add :claims, :map timestamps() end create index(:guardian_tokens, [:aud]) create index(:guardian_tokens, [:sub]) create index(:guardian_tokens, [:exp]) end end令牌生命周期管理
1. 令牌颁发与存储
当用户登录时,Guardian颁发令牌,GuardianDb会自动将令牌信息保存到数据库:
# 用户登录 {:ok, token, claims} = MyApp.Guardian.encode_and_sign(user) # GuardianDb自动记录到数据库 # 包含:jti(令牌ID)、sub(用户ID)、exp(过期时间)、claims等2. 令牌验证与检查
每次请求验证令牌时,GuardianDb会检查数据库中的令牌状态:
# 验证令牌 {:ok, claims} = MyApp.Guardian.decode_and_verify(token) # GuardianDb检查: # 1. 令牌是否在数据库中 # 2. 令牌是否被撤销 # 3. 令牌是否过期3. 令牌撤销
当用户退出或管理员撤销令牌时:
# 撤销令牌 {:ok, claims} = MyApp.Guardian.revoke(token) # GuardianDb在数据库中标记令牌为无效 # 后续验证将失败高级功能
会话管理
通过GuardianDb,你可以实现完整的会话管理:
# 获取用户的所有活动会话 active_sessions = GuardianDb.Token |> where([t], t.sub == ^user_id) |> where([t], t.exp > ^DateTime.utc_now()) |> Repo.all()设备管理
追踪每个设备的令牌:
# 颁发令牌时添加设备信息 claims = %{"device_id" => device_id, "device_type" => "mobile"} {:ok, token, _} = MyApp.Guardian.encode_and_sign(user, claims)批量撤销
撤销用户的所有令牌:
# 撤销用户的所有令牌 GuardianDb.revoke_all_tokens_for_user(user_id)性能考虑
虽然数据库查询会增加一些开销,但GuardianDb进行了优化:
- 索引优化:在关键字段上创建索引
- 缓存策略:可配置缓存以减少数据库查询
- 清理任务:定期清理过期令牌
安全最佳实践
- 定期清理过期令牌:设置定时任务清理数据库中的过期令牌
- 监控异常活动:记录令牌验证失败和撤销事件
- 实现速率限制:防止暴力破解令牌
- 使用HTTPS:确保令牌传输安全
总结
Guardian与GuardianDb的集成为Elixir应用提供了完整的令牌管理解决方案。通过将无状态的JWT令牌与有状态的数据库记录相结合,你可以在保持JWT优点的同时,获得令牌撤销和状态管理的能力。
这种集成方式体现了Elixir社区的模块化设计哲学——通过实现标准的回调接口,GuardianDb能够无缝地扩展Guardian的功能,而不需要修改核心代码。
无论你是构建需要严格安全控制的金融应用,还是需要精细会话管理的社交平台,GuardianDb集成都能为你提供所需的工具和灵活性。通过合理的配置和最佳实践,你可以构建出既安全又高效的身份验证系统。
【免费下载链接】guardianElixir Authentication项目地址: https://gitcode.com/gh_mirrors/gu/guardian
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考