Products
96SEO 2026-06-15 11:19 4
嘿,老铁,今天聊聊前端同学怎么Neng跟后端Auth认证玩得geng爽。你说吧,之前你也问过我这事儿,我来给你拆解。别kan前端是 UI 的菜鸟,跟后端 Auth 打交道其实没那么难。咱们先从Zui直观的角度说起,然后再kankan代码细节。整篇文章会用到不少 NestJS 的例子,你kan完就Neng直接把它搬到自己的项目里。
先说一句:Auth 不是魔法,而是“身份+权限”的组合在 Web 开发里“身份”就是用户是谁;“权限”就是用户Neng干什么。前端拿到一个 token 就好比拿到了身份证和通行证,后端检查这张票据是否有效,然后决定Neng不Neng让你进门。
先把用户名/密码送给后端。
后端返回 accessToken 和 refreshToken。
前端把 accessToken 存进 localStorage 或 cookie。
每次请求dou在 header 加上 Bearer token。
当 accessToken 过期时用 refreshToken 换一个新的。
你kan,这些步骤其实dou是标准流程,真正的问题往往是“我怎么快速搞懂后端的实现细节”。下面我会用代码片段把整个流程拆开,让你一眼就明白。
NestJS Auth 模块整体结构
// src/modules/auth/auth.module.ts
import { Module } from '@nestjs/common';
import { JwtModule } from '@nestjs/jwt';
import { PassportModule } from '@nestjs/passport';
import { TypeOrmModule } from '@nestjs/typeorm';
import { ConfigModule, ConfigService } from '@nestjs/config';
import { AuthService } from './auth.service';
import { AuthController } from './auth.controller';
import { JwtStrategy } from './strategies/jwt.strategy';
import { LocalStrategy } from './strategies/local.strategy';
import { User } from '../user/entities/user.entity';
import { UserModule } from '../user/user.module';
@Module({
imports: ,
inject: ,
useFactory: => ({
secret: configService.get,
signOptions: {
expiresIn: configService.get,
},
}),
}),
UserModule,
],
controllers: ,
providers: ,
exports: ,
})
export class AuthModule {}
别急着去读完这段代码,先把它拆成几块:
User 模块:负责 CRUD 用户信息。
Passport:Zuo中间件,把 token 验证成 user 对象挂到 request 上。
JwtStrategy:核心验证逻辑——拿 token 解码,再去 DB 找 user。
AuthService:业务层:生成 token、登录、注册、刷新等。
// src/modules/auth/strategies/jwt.strategy.ts import { ExtractJwt, Strategy } from 'passport-jwt'; import { PassportStrategy } from '@nestjs/passport'; import { Injectable, UnauthorizedException } from '@nestjs/common'; import { ConfigService } from '@nestjs/config'; import { UserService } from '../../user/user.service'; @Injectable export class JwtStrategy extends PassportStrategy { constructor( private configService: ConfigService, private userService: UserService, ) { super({ jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken, ignoreExpiration: false, secretOrKey: configService.get`validate` 方法里返回的是完整的 `User` 对象,这个对象会自动挂在 `req.user` 上,让后面的路由守卫或装饰器直接拿到。记得别改成 `null` 或 `
// src/modules/auth/auth.service.ts
// ...
private async generateTokens {
const accessExpiresIn = payload.type === 'admin'
? this.config.get
: this.config.get;
const refreshExpiresIn = payload.type === 'admin'
? this.config.get
: this.config.get;
const = await Promise.all();
return {
accessToken,
refreshToken,
expiresIn:
parseInt) * ({
s:
1,
m:
60,
h:
3600,
d:
86400
})
};
}
// ...
`generateTokens` 一下子搞定两种 token。关键点是 **不同客户端有不同有效期** —— 后台 admin 用短期访问令牌,但长周期刷新;App 用长周期访问令牌,geng贴合移动体验。这样设计Ke以兼顾安全和 UX,不会因为频繁登录而让用户卡顿。 `@MinLength` 写了两次吗?不对不对,是我打错了;写成 `@MinLength` 就行啦。不过要记得给每个字段加上 validation,否则后面会报错。
**小贴士**:Ru果你在 DTO 中忘了 `@ApiProperty` 注解,Swagger UI 会漏掉这个字段,可见注解的重要性啊!哈哈~ `JwtAuthGuard` 本质上只是包了一层错误处理,但也正因为这样我们Ke以把错误统一抛给全局异常过滤器,让页面直接弹出 toast。
再来kan角色守卫: `RolesGuard` 在后台路由里配合 `@UseGuards` 和 `@Roles` 使用,就Neng让只有 admin Neng访问某个接口。
**注意**:Ru果你在 controller 写 ` `CurrentUser` 用来在 controller 参数中直接注入当前用户对象或者字段,例如:
ts
@Get
@UseGuards
profile u){return u;}
还Ke以写成 `@CurrentUser color:string` 来只取颜色字段。这种写法既简洁,又不会暴露整个对象给视图层——hen适合单页面应用。
为什么百度不收录?答案来了:
那可真是个技术小问题啊!其实大多数时候百度不收录主要是因为页面内容过于简单或与搜索意图无关。而对于我们的技术博客来说Ru果页面没有足够深度的说明或缺少关键词,那么就算技术好也可Neng被忽略。解决办法hen简单:多加一些案例分析、代码细节、常见坑点,并且保持geng新频率。当然也别忘了让页面结构友好——标题 H1/H2 要合理,用 meta 描述填充点关键词,毕竟爬虫也需要抓取线索呀!哈哈~
// src/modules/auth/guards/jwt-auth.guard.ts
@Injectable
export class JwtAuthGuard extends AuthGuard {
handleRequest {
if{
throw err || new UnauthorizedException;
}
return user;
}
}
// src/modules/auth/guards/roles.guard.ts
@Injectable
export class RolesGuard implements CanActivate{
constructor{}
canActivate{
const requiredRoles=this.reflector.getAllAndOverride('roles',);
ifreturn true;
const{user}=context.switchToHttp.getRequest;
ifreturn new ForbiddenException;
const hasRole=requiredRoles.some;
ifreturn new ForbiddenException
return true;
}
}
装饰器帮忙取值
@Injectable
export class AdminGuard implements CanActivate{
canActivate{
const request=context.switchToHttp.getRequest;
const user=request.user;
ifreturn new ForbiddenException
if
return new ForbiddenException
}
}
export function CurrentUser {
return createParamDecorator=>{
const req=key.switchToHttp.getRequest;
const u=req.user as User;
return data?u:u;
});
}
// src/modules/auth/auth.controller.ts
@Controller
@ApiTags
export class AuthController{
constructor{}
@Post async adminLogin dto,@Ip ip:string){ return this.authSvc.adminLogin; }
@Post async appLogin dto,@Ip ip:string){ return this.authSvc.appLogin; }
// ... 注册、刷新等略... }
/auth/app/register
/auth/app/login
/auth/refresh
示例数据请自行构造;这里不给出完整命令行避免带域名哦~😉 获取个人信息接口示例
/auth/me
` Zui后的
token 两种access + refresh,根据客户端差异化配置。
DTO + Validator 把非法输入挡住也让 Swagger 文档geng漂亮。
Passport + Guard 把验证抽离出来每次请求自动校验。
角色守卫 再加一层安全网关,让权限分级geng清晰。
Redis 黑名单 NengZuo到真正登出,而不是仅仅前端删 cookie。
还有一句话提醒你:
祝开发顺利,不用再为 “如何快速掌握后端 Auth” 而头疼啦!
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback
