16-9 进阶测试jwt模块:应用守卫AuthGuard、jwtService签名Payload
一、JWT Strategy的validate方法核心机制深度解析
1.1 validate方法的作用原理与高级应用
核心机制
Passport.js的JWT策略在验证签名时会执行以下关键步骤:
- 签名验证:使用配置的secret验证JWT签名有效性
- Payload解码:Base64解码后获取原始JSON对象
- validate调用:将解码后的payload作为参数传递给validate方法
// 高级实现示例(带数据库校验)
async validate(payload: { sub: string }) {
const user = await this.userService.findById(payload.sub);
if (!user) throw new UnauthorizedException('用户不存在');
return {
id: user.id,
roles: user.roles, // 添加角色信息
department: user.department // 添加部门信息
};
}
typescript
典型应用场景
- 用户状态检查(是否禁用)
- 权限角色附加
- 多租户系统租户信息注入
- 登录设备验证
💡安全提示:validate中抛出的异常会直接终止请求并返回401
1.2 validate方法的完整执行流程
深度流程分析
流程关键点说明
- 签名验证阶段:
- 使用配置的secret和算法(默认HS256)
- 自动验证iat/exp时间有效性
- 验证iss/aud等标准声明(如果配置)
- validate执行阶段:
- 可同步/异步执行
- 可访问数据库或其他服务
- 返回对象会被深度合并到req.user
- 错误处理机制:
- 签名无效 → 自动返回401
- validate抛出异常 → 返回401
- 过期token → 自动返回401
1.3 实战技巧与调试方法
调试技巧
// 调试模式下的validate实现
async validate(payload: any) {
console.log('Raw Payload:', payload);
// 模拟数据库查询延迟
await new Promise(resolve => setTimeout(resolve, 500));
const mockUser = {
id: payload.sub,
from: 'jwt',
debug: true
};
console.log('Processed User:', mockUser);
return mockUser;
}
typescript
性能优化建议
- 对频繁访问的用户数据添加缓存
- 避免在validate中进行复杂计算
- 对大型payload使用选择性质询
1.4 安全增强方案
防御措施
// 安全增强版validate
async validate(payload: any) {
// 1. 检查标准声明
if (!payload.sub || !payload.iat) {
throw new UnauthorizedException('非法Token格式');
}
// 2. 检查签发时间(防止时间篡改)
if (payload.iat > Math.floor(Date.now() / 1000)) {
throw new UnauthorizedException('异常签发时间');
}
// 3. 获取用户并检查状态
const user = await this.userService.getActiveUser(payload.sub);
// 4. 检查最近密码修改时间
if (user.lastPasswordChange > payload.iat) {
throw new UnauthorizedException('凭证已失效');
}
return user;
}
typescript
安全审计要点
- 确保sub字段不可预测(避免使用自增ID)
- 对敏感操作要求重新认证
- 实现JWT黑名单机制
扩展阅读:OWASP JWT Cheat Sheet 最新安全规范建议
二、JWT Strategy注册规范深度解析
2.1 模块注册的完整流程与高级配置
标准注册流程(带配置注入)
// auth.module.ts
@Module({
imports: [
ConfigModule.forFeature(jwtConfig), // 配置模块
PassportModule.register({ defaultStrategy: 'jwt' }) // Passport初始化
],
providers: [
{
provide: 'JWT_STRATEGY_CONFIG',
useFactory: (config: ConfigService) => ({
secret: config.get('JWT_SECRET'),
issuer: config.get('JWT_ISSUER'),
audience: config.get('JWT_AUDIENCE')
}),
inject: [ConfigService]
},
JwtStrategy // 策略注册
]
})
export class AuthModule {}
typescript
关键配置项说明
| 配置项 | 作用 | 示例值 | 是否必需 |
|---|---|---|---|
| secret | 签名密钥 | 'my-secret-key' | 是 |
| issuer | 签发者 | 'my-app.com' | 可选 |
| audience | 接收方 | 'web','mobile' | 可选 |
| algorithms | 允许算法 | 'HS256','RS256' | 可选 |
2.2 多策略注册模式(高级用法)
同时支持JWT和API Key认证
// auth.module.ts
@Module({
providers: [
{
provide: 'JWT_STRATEGY',
useClass: JwtStrategy // JWT策略
},
{
provide: 'API_KEY_STRATEGY',
useClass: ApiKeyStrategy // API Key策略
}
]
})
export class AuthModule {}
// 控制器中使用
@UseGuards(AuthGuard(['jwt', 'api-key']))
export class HybridController {}
typescript
2.3 常见注册问题解决方案
问题1:循环依赖
// 解决方案:使用forwardRef
@Module({
imports: [forwardRef(() => UserModule)],
providers: [JwtStrategy]
})
export class AuthModule {}
typescript
问题2:动态配置
// 使用异步provider
{
provide: 'JWT_CONFIG',
useFactory: async (config: ConfigService) => {
const secret = await config.get('JWT_SECRET');
return { secret };
},
inject: [ConfigService]
}
typescript
2.4 测试环境特殊处理
Mock策略实现
// test/mocks/jwt-strategy.mock.ts
export class MockJwtStrategy extends JwtStrategy {
async validate(payload: any) {
return { id: 'test-user', roles: ['admin'] };
}
}
// 测试模块配置
@Module({
providers: [{ provide: JwtStrategy, useClass: MockJwtStrategy }]
})
export class TestAuthModule {}
typescript
2.5 性能优化建议
- 单例模式:确保策略实例是单例
@Injectable() export class JwtStrategy extends PassportStrategy(Strategy) { constructor() { super({...}); } }typescript - 延迟加载:对大型应用使用动态模块
@Module({}) export class AuthModule { static forRoot(config: JwtConfig): DynamicModule { return { module: AuthModule, providers: [ { provide: 'JWT_CONFIG', useValue: config }, JwtStrategy ] }; } }typescript
2.6 安全增强方案
密钥轮换实现
// 多密钥支持配置
{
provide: 'JWT_STRATEGY',
useFactory: () => new JwtStrategy({
secretOrKeyProvider: (request, rawJwt, done) => {
const kid = rawJwt.header.kid;
const secret = getCurrentSecret(kid); // 根据key ID获取当前密钥
done(null, secret);
}
})
}
typescript
安全审计要点
- 禁止使用弱算法(如HS256+短密钥)
- 确保issuer/audience验证开启
- 实现密钥自动轮换机制
最佳实践:参考NIST SP 800-63B的认证标准要求配置JWT参数
三、AuthGuard路由防护实践深度指南
3.1 守卫应用方法(增强版)
全局守卫配置(推荐)
// main.ts
app.useGlobalGuards(new AuthGuard('jwt')); // 应用到所有路由
// 需要跳过的路由使用装饰器
@SkipJwtAuth()
@Get('public')
getPublicData() { /*...*/ }
typescript
方法级细粒度控制
@Controller('users')
export class UserController {
// 需要admin角色
@UseGuards(AuthGuard('jwt'), RolesGuard)
@Roles('admin')
@Get('admin')
getAdminData() { /*...*/ }
// 需要jwt但不需要特定角色
@UseGuards(AuthGuard('jwt'))
@Get('profile')
getProfile(@Req() req) { /*...*/ }
}
typescript
自定义守卫实现
// strict-jwt.guard.ts
export class StrictJwtGuard extends AuthGuard('jwt') {
handleRequest(err, user, info, context) {
if (err || !user) {
throw new UnauthorizedException('无效凭证');
}
if (!user.isVerified) {
throw new ForbiddenException('请先验证邮箱');
}
return user;
}
}
typescript
3.2 401错误全链路排查手册
错误场景分析表
| 错误现象 | 可能原因 | 解决方案 |
|---|---|---|
| 401 + "No auth token" | 1. 缺少Authorization头 2. 格式错误 | 1. 检查请求头 2. 确保格式为 Bearer <token> |
| 401 + "Invalid token" | 1. 签名不匹配 2. 已过期 3. 算法不匹配 | 1. 检查secret一致性 2. 验证有效期 3. 检查算法配置 |
| 401 + "Unexpected token" | 1. Token损坏 2. Base64解码失败 | 1. 重新生成token 2. 检查传输编码 |
诊断工具推荐
- JWT.io调试器:实时解析token
- NestJS日志:开启详细日志
// main.ts const app = await NestFactory.create(AppModule, { logger: ['verbose'] });typescript - Wireshark抓包:检查原始HTTP请求
终端错误深度解析
# 典型错误日志示例
[Nest] 18996 - 2023/08/20 15:32:11 ERROR [ExceptionsHandler] ConflictService.get()方法不存在
# 解决方案:
1. 检查模块依赖关系图:nest info
2. 确认@Inject()装饰器正确使用
3. 验证全局模块导出
bash
3.3 高级调试技巧
请求拦截诊断
// 自定义中间件
app.use((req, res, next) => {
console.log('Incoming Headers:', req.headers);
console.log('Auth Header:', req.headers.authorization);
next();
});
typescript
策略调试模式
// jwt.strategy.ts
constructor() {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
secretOrKey: 'secret',
passReqToCallback: true, // 开启请求对象传递
debug: true // 开启调试日志
});
}
typescript
3.4 性能优化方案
守卫缓存机制
// cache.guard.ts
@Injectable()
export class CachedJwtGuard extends AuthGuard('jwt') {
private cache = new Map<string, any>();
async canActivate(context: ExecutionContext) {
const request = context.switchToHttp().getRequest();
const token = this.getToken(request);
if (this.cache.has(token)) {
request.user = this.cache.get(token);
return true;
}
const result = await super.canActivate(context);
if (result) this.cache.set(token, request.user);
return result;
}
}
typescript
守卫执行流程优化
3.5 安全增强实践
令牌吊销检查
// revocation-check.guard.ts
@Injectable()
export class RevocationCheckGuard extends AuthGuard('jwt') {
constructor(private redis: RedisService) {
super();
}
async canActivate(context: ExecutionContext) {
const isValid = await super.canActivate(context);
if (!isValid) return false;
const req = context.switchToHttp().getRequest();
const token = this.getToken(req);
const isRevoked = await this.redis.get(`revoked:${token}`);
if (isRevoked) throw new UnauthorizedException('令牌已吊销');
return true;
}
}
typescript
关键安全指标
- 令牌有效期:建议2-4小时
- 刷新令牌:设置7天有效期
- 签名算法:优先使用RS256
- 密钥长度:HS256至少32字符
特别提示:生产环境必须实现令牌黑名单机制!
四、JWT签发与认证流程深度解析
4.1 登录签发实现(企业级方案)
增强版签发服务
// auth.service.ts
async signIn(dto: LoginDto) {
// 1. 带锁的用户查询(防止暴力破解)
const user = await this.userService.findByUsernameWithLock(dto.username);
if (!user) {
await this.auditService.logLoginAttempt(dto.username, false);
throw new ForbiddenException('用户不存在');
}
// 2. 密码校验增强
const isValid = await this.passwordService.verify(
user.password,
dto.password,
user.salt
);
if (!isValid) {
await this.auditService.logLoginAttempt(user.username, false);
throw new ForbiddenException('凭证错误');
}
// 3. 多因素验证检查
if (user.mfaEnabled && !dto.totpCode) {
throw new ForbiddenException('需要二次验证');
}
// 4. 安全签发(带设备指纹)
const payload = {
sub: user.uuid, // 使用UUID而非自增ID
username: user.username,
device: this.deviceService.getFingerprint(),
scope: ['api', 'profile']
};
// 5. 签发双Token
return {
access_token: this.jwtService.sign(payload, {
expiresIn: '15m'
}),
refresh_token: this.jwtService.sign({
sub: user.uuid
}, {
expiresIn: '7d'
})
};
}
typescript
关键安全措施
- 防暴力破解:
- 登录失败延迟响应
- IP频率限制
- 账户锁定机制
- 密码安全:
// password.service.ts async verify(storedHash: string, input: string, salt: string) { const derivedKey = await scrypt(input, salt, 64); return timingSafeEqual(Buffer.from(storedHash), derivedKey); }typescript
4.2 Payload设计规范(企业级)
标准声明扩展表
| 字段 | 类型 | 必要性 | 示例 | OWASP建议 |
|---|---|---|---|---|
| jti | string | 推荐 | "x1234" | 唯一标识符,用于防重放 |
| iss | string | 生产必需 | "api.yourdomain.com" | 必须验证签发者 |
| aud | string | 生产必需 | "web","mobile" | 必须验证接收方 |
| nbf | number | 可选 | 1620000000 | 设置生效时间 |
| roles | string | 可选 | "admin","editor" | RBAC最小权限 |
敏感数据处理方案
// 安全payload构造器
buildSafePayload(user: User) {
return {
sub: user.uuid,
jti: randomUUID(),
iss: this.config.get('JWT_ISSUER'),
aud: this.config.get('JWT_AUDIENCE'),
meta: {
lastAuth: user.lastLogin,
// 加密敏感字段
license: this.cryptoService.encrypt(user.licenseKey)
}
};
}
typescript
4.3 双Token签发流程
4.4 令牌刷新机制
刷新服务实现
// auth.service.ts
async refreshToken(refreshToken: string) {
// 1. 基础验证
const payload = this.jwtService.verify(refreshToken);
// 2. 检查吊销列表
const isRevoked = await this.redis.get(`revoked:${payload.jti}`);
if (isRevoked) throw new UnauthorizedException('令牌已失效');
// 3. 签发新token
const user = await this.userService.findById(payload.sub);
return this.signToken(user);
}
typescript
安全要点
- Refresh Token必须:
- 单独存储(Redis)
- 设置更长有效期(7-30天)
- 可单独吊销
- Access Token应该:
- 短期有效(15-60分钟)
- 不存储敏感操作权限
- 每次刷新更新jti
4.5 生产环境建议
- 密钥管理:
// 密钥轮换方案 const getCurrentKey = () => { const currentHour = Math.floor(Date.now() / 3600000); return keys[currentHour % keys.length]; };typescript - 监控指标:
- 令牌签发频率
- 异常签发行为
- 刷新令牌使用模式
- 合规要求:
- GDPR数据最小化原则
- PCI DSS令牌有效期限制
- ISO27001审计日志
企业级方案参考:使用Hashicorp Vault进行密钥管理和令牌签发
五、Token验证与请求处理全链路解析
5.1 客户端请求规范(企业级实现)
多平台请求示例
### Web端请求示例
GET /api/v1/user/profile HTTP/1.1
Authorization: Bearer eyJhbGci...xMjM0NTY3ODk
X-Device-Fingerprint: abc123xyz
X-Request-ID: 123e4567-e89b-12d3-a456-426614174000
### 移动端请求示例
POST /graphql HTTP/1.1
Content-Type: application/json
Authorization: Bearer eyJhbGci...xMjM0NTY3ODk
X-App-Version: 3.2.1
http
安全增强头部
| 头部字段 | 作用 | 示例值 | 是否必需 |
|---|---|---|---|
| X-Device-ID | 设备指纹 | "dvc_abc123" | 推荐 |
| X-Request-ID | 请求追踪 | UUIDv4 | 推荐 |
| X-Anti-CSRF-Token | CSRF防护 | "x-csrf-token" | 关键操作必需 |
5.2 服务端验证流程(生产级实现)
完整验证流程图
关键验证点代码实现
// jwt.verification.ts
class JwtVerifier {
async verifyRequest(req: Request) {
// 1. 头检查
const authHeader = req.headers.authorization;
if (!authHeader?.startsWith('Bearer ')) {
throw new InvalidHeaderException();
}
// 2. 令牌提取
const token = authHeader.substring(7);
const [headerB64, payloadB64, signature] = token.split('.');
// 3. 算法检查
const header = JSON.parse(Buffer.from(headerB64, 'base64').toString());
if (!this.allowedAlgos.includes(header.alg)) {
throw new AlgorithmNotAllowed();
}
// 4. 签名验证
const signingInput = `${headerB64}.${payloadB64}`;
const valid = crypto.verify(
'sha256',
Buffer.from(signingInput),
this.publicKey,
Buffer.from(signature, 'base64')
);
if (!valid) throw new InvalidSignature();
// 5. 时效检查
const payload = JSON.parse(Buffer.from(payloadB64, 'base64').toString());
if (payload.exp < Date.now()/1000) throw new TokenExpired();
if (payload.nbf > Date.now()/1000) throw new TokenNotActive();
return payload;
}
}
typescript
5.3 验证流程性能优化
缓存验证结果
// 使用Redis缓存有效token
const cachedPayload = await redis.get(`jwt:${token}`);
if (cachedPayload) {
req.user = JSON.parse(cachedPayload);
return next();
}
typescript
并行检查策略
5.4 安全防护增强
防重放攻击方案
// 检查jti唯一性
const isReplay = await redis.exists(`jti:${payload.jti}`);
if (isReplay) throw new ReplayAttackDetected();
// 设置短期有效期
await redis.set(`jti:${payload.jti}`, 1, 'EX', 60);
typescript
关键安全指标监控
| 指标 | 阈值 | 监控方式 |
|---|---|---|
| 无效token率 | <0.5% | Prometheus计数器 |
| 验证延迟 | <50ms | 分布式追踪 |
| 吊销检查耗时 | <10ms | ELK日志分析 |
5.5 多场景处理策略
不同令牌类型处理
// 令牌路由器
switch (tokenType) {
case 'access_token':
return this.verifyAccessToken(token);
case 'refresh_token':
return this.verifyRefreshToken(token);
case 'mfa_token':
return this.verifyMfaToken(token);
default:
throw new UnknownTokenType();
}
typescript
错误响应标准化
{
"error": "invalid_token",
"error_description": "The access token expired",
"error_uri": "/docs/errors#invalid_token",
"timestamp": "2023-08-20T12:00:00Z",
"trace_id": "abc123"
}
json
生产环境建议:结合OpenID Connect规范实现令牌验证,参考RFC 7519和RFC 6750标准文档
六、请求对象深度调试与安全分析
6.1 增强型控制器调试方案
专业调试控制器实现
@Controller('debug')
export class DebugController {
@Get('full-context')
debugFullContext(
@Req() req: Request,
@Res({ passthrough: true }) res: Response
) {
const debugInfo = {
timestamp: new Date().toISOString(),
jwt: {
raw: req.headers.authorization,
payload: req.user,
lifetime: `${req.user.exp - req.user.iat}s (${(req.user.exp - req.user.iat)/3600}h)`
},
request: {
id: req.id,
ip: req.ip,
userAgent: req.headers['user-agent']
},
security: {
csrfToken: req.csrfToken?.(),
rateLimit: req.rateLimit
}
};
// 写入审计日志
this.auditService.logDebugAccess(req.user.sub, debugInfo);
return debugInfo;
}
}
typescript
调试工具链推荐
- NestJS调试中间件:
app.use((req, res, next) => { console.log('Incoming Request:', { method: req.method, path: req.path, jwt: req.user || 'unauthorized' }); next(); });typescript - Redux DevTools:用于前端token状态跟踪
- Wireshark:抓包分析原始HTTP请求
6.2 调试输出深度解析
JWT生命周期分析表
| 字段 | 示例值 | 转换后时间 | 计算规则 | 安全建议 |
|---|---|---|---|---|
| iat | 1716191679 | 2024-05-20 12:00:00 | iat*1000 | 允许±5分钟时钟偏移 |
| exp | 1716278079 | 2024-05-21 12:00:00 | exp*1000 | 建议≤4小时有效期 |
| nbf | 1716191700 | 2024-05-20 12:01:00 | nbf*1000 | 设置≥当前时间 |
增强版调试输出
{
"metadata": {
"debug_time": "2024-05-20T12:05:00Z",
"token_lifetime": 86400,
"remaining_seconds": 86395
},
"payload": {
"username": "trimark",
"roles": ["admin", "auditor"],
"device_fingerprint": "d3b07384d113"
},
"security": {
"issuer_valid": true,
"audience_match": ["web"],
"token_rotation_required": false
}
}
json
6.3 安全调试实践
敏感信息过滤
// 安全调试过滤器
safeDebug(payload: any) {
const { password, salt, ...safeData } = payload;
return {
...safeData,
_warning: "Filtered sensitive fields: password, salt"
};
}
typescript
调试模式安全开关
// 环境检测中间件
if (process.env.NODE_ENV === 'production') {
app.use('/debug', (req, res) => {
res.status(403).json({
error: 'Debug endpoints disabled in production'
});
});
}
typescript
6.4 时效验证增强
动态有效期检查
// 时效验证服务
checkTokenTiming(payload: any) {
const now = Date.now() / 1000;
const issues = [];
if (payload.iat > now + 300) {
issues.push('签发时间在未来');
}
if (payload.exp < now - 300) {
issues.push('已过期超过5分钟宽限期');
}
if (payload.nbf > now) {
issues.push('尚未生效');
}
return issues.length ? { valid: false, issues } : { valid: true };
}
typescript
时效调试流程图
6.5 生产环境调试规范
- 访问控制:
- 限制调试端点仅内网访问
- 需要超级管理员权限
@UseGuards(InternalNetworkGuard, SuperAdminGuard)typescript - 日志脱敏:
// 日志脱敏处理器 const masked = JSON.stringify(payload, (key, value) => ['password', 'token'].includes(key) ? '***' : value );typescript - 自动关闭机制:
// 调试端点自动关闭 setTimeout(() => { debugEnabled = false; }, 3600000); // 1小时后自动禁用typescript
企业级建议:使用OpenTelemetry实现分布式调试追踪,结合Jaeger可视化工具
七、JWT安全架构深度解析与防御体系
7.1 签名机制全链路保护
增强型签名公式(支持多算法)
SignatureSupported Algorithms=Algorithm( base64UrlEncode(header)+"."+base64UrlEncode(payload), key )=⎩⎨⎧HS256RS256ES384:HMAC using SHA−256:RSA with SHA−256:ECDSA using P−384 and SHA−384算法选择决策树
7.2 企业级安全防护矩阵
增强版防护策略表
| 攻击类型 | 防护等级 | 技术方案 | 实施示例 | 检测手段 |
|---|---|---|---|---|
| 重放攻击 | CRITICAL | JTI唯一标识+Redis黑名单 | redis.set(jti:${jti},1,'EX',exp-iat) | 请求指纹分析 |
| 密钥破解 | HIGH | 动态密钥轮换(每小时) | Vault动态密钥 | 异常签名检测 |
| 头部注入 | MEDIUM | 严格算法白名单 | algorithms: ['RS256'] | 请求头审计 |
| 时序攻击 | HIGH | 恒定时间比较 | crypto.timingSafeEqual() | 耗时监控 |
零信任架构集成
// 动态策略检查器
class ZeroTrustValidator {
async verify(request: Request) {
const deviceRisk = await this.riskEngine.evaluateDevice(request);
const behaviorRisk = await this.ubiService.analyzeBehavior(request.user);
if (deviceRisk > 0.7 || behaviorRisk > 0.8) {
throw new RiskThresholdExceeded();
}
}
}
typescript
7.3 军事级密钥管理体系
密钥生命周期管理
密钥生成规范对比
| 类型 | 生成方式 | 强度 | 适用场景 | 示例 |
|---|---|---|---|---|
| HS256 | 随机字节 | 256bit | 内部微服务 | crypto.randomBytes(32) |
| RS256 | OpenSSL生成 | 2048bit | 对外开放API | openssl genrsa -out key.pem 2048 |
| ES512 | 椭圆曲线 | 521bit | 金融级应用 | openssl ecparam -name secp521r1 |
7.4 量子计算防御前瞻
抗量子签名算法准备
// 后量子密码学实验支持
import { dilithium } from 'pqcrypto';
const postQuantumSign = (payload) => {
const keyPair = dilithium.keyPair();
return {
signature: dilithium.sign(payload, keyPair.privateKey),
publicKey: keyPair.publicKey
};
};
typescript
量子威胁应对路线图
- 短期(2023-2025):增加密钥长度(HS512)
- 中期(2026-2030):混合签名(RSA+格密码)
- 长期(2031+):纯量子安全算法(SPHINCS+)
7.5 安全审计指标体系
关键安全指标(KPI)
| 指标 | 计算公式 | 达标阈值 | 监控工具 |
|---|---|---|---|
| 密钥轮换率 | 实际轮换次数/计划次数 | ≥98% | Vault审计日志 |
| 异常签名率 | 无效签名数/总请求数 | ≤0.1% | ELK+机器学习 |
| 令牌泄露率 | 泄露事件数/活跃令牌数 | 0 | SIEM系统 |
审计检查表示例
{
"audit": {
"last_rotation": "2023-08-20T00:00:00Z",
"key_strength": {
"current": "RS256-2048bit",
"recommended": "RS256-3072bit"
},
"vulnerabilities": [
{
"type": "ECDSA弱曲线",
"status": "已修复",
"patch_date": "2023-07-15"
}
]
}
}
json
军工级建议:参照NIST FIPS 140-3 Level 4标准实施硬件安全模块(HSM)保护密钥材料
↑