jwt的token自动续约_node.js - JWT(JSON Web Token)自动延长到期时间

最新推荐文章于 2024-07-26 14:38:22 发布
最新推荐文章于 2024-07-26 14:38:22 发布
阅读量888 收藏
点赞数
文章标签: jwt的token自动续约
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34540485/article/details/112804366
版权
本文探讨了如何在使用JWT进行身份验证的Node.js REST API中实现自动续期。讨论了多种策略,包括使用刷新令牌、定期刷新和用户活动检测,以及在不存储令牌的情况下确保安全性。提出了在不同类型的Web和移动应用中适用的最佳实践。
摘要由CSDN通过智能技术生成

node.js - JWT(JSON Web Token)自动延长到期时间

我想为我们的新REST API实现基于JWT的身份验证。 但是由于在令牌中设置了到期,是否可以自动延长它? 我不希望用户在每X分钟后需要登录,如果他们在那段时间内积极使用该应用程序。 这将是一个巨大的用户体验失败。

但是延长过期会创建一个新令牌(旧令牌在到期之前仍然有效)。 每次请求后生成一个新令牌对我来说都是愚蠢的。 当多个令牌同时有效时,听起来像是一个安全问题。 当然,我可以使用黑名单使旧的旧列表无效,但我需要存储令牌。 JWT的一个好处就是没有存储空间。

我发现Auth0是如何解决它的。 它们不仅使用JWT令牌,还使用刷新令牌:[https://docs.auth0.com/refresh-token]

但同样,为了实现这一点(没有Auth0),我需要存储刷新令牌并保持其过期。 那么真正的好处是什么? 为什么不只有一个令牌(不是JWT)并在服务器上保持过期?

还有其他选择吗? 使用JWT不适合这种情况吗?

9个解决方案

446 votes

我在Auth0工作,我参与了刷新令牌功能的设计。

这一切都取决于应用程序的类型,这是我们推荐的方法。

Web应用程序

一个好的模式是在令牌到期之前刷新令牌。

将令牌过期设置为一周,并在每次用户打开Web应用程序时每隔一小时刷新令牌。 如果用户未打开应用程序超过一周,则必须再次登录,这是可接受的Web应用程序UX。

要刷新令牌,您的API需要一个新端点,该端点接收有效的,未过期的JWT,并使用新的过期字段返回相同的签名JWT。 然后,Web应用程序将令牌存储在某处。

移动/本机应用程序

大多数本机应用程序只登录一次。

我们的想法是刷新令牌永不过期,并且可以始终为有效的JWT进行交换。

令牌永不过期的问题绝不是永远不会。 如果丢失手机怎么办? 因此,它需要以某种方式由用户识别,并且应用程序需要提供撤销访问的方法。 我们决定使用设备的名称,例如 “maryo的iPad”。 然后,用户可以转到该应用程序并撤消对“maryo的iPad”的访问权限。

另一种方法是撤消特定事件上的刷新令牌。 一个有趣的事件是更改密码。

我们认为JWT对这些用例没用,所以我们使用随机生成的字符串,然后将它存储在我们这边。

José F. Romaniello answered 2019-01-08T03:24:37Z

57 votes

在您自己处理auth的情况下(即不使用Auth0之类的提供

最低0.47元/天 解锁文章
琉璃与大大
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信号量与令牌桶_限流的4种方式&令牌桶实战
weixin_39752941的博客
12-20 357
限流的4种方式正文限流限流是对某一时间窗口内的请求数进行限制,保持系统的可用性和稳定性,防止因流量暴增而导致的系统运行缓慢或宕机。常用的限流算法有令牌桶和和漏桶,而Google开源项目Guava中的RateLimiter使用的就是令牌桶控制算法。在开发高并发系统时有三把利器用来保护系统:缓存、降级和限流缓存:缓存的目的是提升系统访问速度和增大系统处理容量降级:降级是当服务器压力剧增的情况下,根据当...
NodeJs零基础教程(五)
qq_60440599的博客
10-07 220
NodeJs零基础教程(五)登录鉴权内容
令牌桶 客户端请求_使用刷新的令牌和cookie进行安全的客户端身份验证
weixin_26636643的博客
09-27 889
令牌桶 客户端请求To start off, this is my first article here. I’ve thought about writing it for a while now. Ever since we planned and implemented what we call a moderately secure way to actually authenticate...
Jwt选型和实现
qq_45317823的博客
02-19 524
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
jwttoken自动续约_关于JWTToken自动续期的解决方案
weixin_39811101的博客
12-21 411
Apple iPhone 11 (A2223) 128GB 黑色 移动联通电信4G手机 双卡双待4999元包邮去购买 >前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对toke...
jwttoken自动续约_JWT(JSON Web Token)自动延长到期时间
weixin_39631263的博客
12-21 788
cchamberlain..6如果您使用的是节点(React/Redux/Universal JS),则可以安装npm i -S jwt-autorefresh.此库根据用户计算的访问令牌到期之前的秒数(基于令牌中编码的exp声明)计划刷新JWT令牌.它有一个广泛的测试套件,可以检查很多条件,以确保任何奇怪的活动都伴随着有关环境配置错误的描述性消息.完整的示例实现import autorefres...
node-jwt-simple:用于node.jsJWTJSON Web令牌)编码和解码模块
02-21
用于node.js的编码和解码模块。 安装 $ npm install jwt-simple 用法 let jwt = require ( 'jwt-simple' ) ; let payload = { foo : 'bar' } ; let secret = 'xxx' ; // HS256 secrets are typically 128-bit random...
快速入门:使用Express-JWTJSON Web Token保护你的Node.js应用
01-30
在构建Node.js应用时,安全性是一个至关重要的方面。本博客旨在解决如何在Express框架中实现令牌生成的问题,使用express-jwtjsonwebtoken这两个流行的库来确保你的应用程序在身份验证方面具有强大的安全性。
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
WebAPI与JWTJSON Web Tokens)身份验证是一种常见的安全机制,用于保护WebAPI接口免受未经授权的访问。JWT令牌提供了一种轻量级的方式来进行身份验证和授权,它允许服务器在客户端之间安全地传递信息,而无需存储...
信号量与令牌桶_聊聊互联网限流方案
weixin_39781209的博客
12-30 342
Updated on 八月 2, 2018聊聊互联网限流方案首先要知道为什么要进行限流,限流的方式有那些,那些应用需要限流。在业务场景中,我们会遇到有百万甚至更加大的用户请求流量来访问接口,或者在业务对接过程中,业务提供方的访问频率控制,等等我们的业务都需要做限流处理,这个时候如果不做任何保护措施,服务器就会承受很大的处理压力,请求量很高,服务器负载也很高,并且当请求超过服务器承载极限的时候,系统...
图解+代码|常见限流算法以及限流在单机分布式场景下的思考
AlbenXie的博客
09-22 494
大家好,我是 yes。 今天来说说限流的相关内容,包括常见的限流算法、单机限流场景、分布式限流场景以及一些常见限流组件。 当然在介绍限流算法和具体场景之前我们先得明确什么是限流,为什么要限流?。 任何技术都要搞清它的来源,技术的产生来自痛点,明确痛点我们才能抓住关键对症下药。 限流是什么? 首先来解释下什么是限流? 在日常生活中限流很常见,例如去有些景区玩,每天售卖的门票数是有限的,例如 2000 张,即每天最多只有 2000 个人能进去游玩。 题外话:我之前看到个新闻,最不想卖门票的景区“
极狐GitLab 如何创建个人访问令牌?
GitLab 中国发行版
07-26 761
如何创建极狐GitLab 个人访问令牌!
创建 GitHub 个人访问令牌
wzk4869的博客
07-25 4879
如歌创建 GitHub 个人访问令牌?
gitlab 删除分支_手把手教你GitLab部署
weixin_39946996的博客
11-30 1367
一、GitLab介绍GitLab 是一个基于Git实现的在线代码仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务,一般用于企业、学校等内部网络搭建Git私服。通过 Web 界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。可以创建不同...
中国石油大学(北京)克拉玛依校区在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
浙江越秀外国语学院在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
网站模板源代码(组件划分规范,二改省力)
最新发布
09-08
组件划分规范,二改省力!!!
js-cookie设置token过期时间_详解ASP.NET Core Web Api之JWT刷新Token_实用技巧
06-02
好的,针对您的问题,我可以给您一些关于js-cookie设置token过期时间以及ASP.NET Core Web API之JWT刷新Token的实用技巧。 首先,关于js-cookie设置token过期时间,可以通过以下代码实现: ```javascript // 设置cookie过期时间为1天 Cookies.set('token', 'your_token_value', { expires: 1 }); ``` 其中,`expires`属性表示过期时间,单位为天。 其次,关于ASP.NET Core Web API之JWT刷新Token,可以采用以下方法: 在JWT的payload中加入`exp`属性,表示token过期时间。当token过期后,客户端需要向服务器发送请求,获取新的token。服务器对于过期token,可以返回一个特定的状态码,比如401 Unauthorized。客户端接收到该状态码后,可以重新向服务器发送请求,获取新的token。 同时,在服务器端需要实现一个刷新token的接口,接口的功能是根据旧的token生成新的token。具体实现可以参考以下代码: ```csharp [HttpPost("refresh-token")] public IActionResult RefreshToken([FromBody] string token) { // 验证旧的token是否有效 var principal = _jwtService.GetPrincipalFromExpiredToken(token); if (principal == null) return BadRequest("Invalid token"); // 生成新的token var newToken = _jwtService.GenerateToken(principal.Claims); return Ok(newToken); } ``` 其中,`_jwtService`表示JWT的服务类,`GetPrincipalFromExpiredToken`方法用于从过期token中获取`ClaimsPrincipal`对象,`GenerateToken`方法用于生成新的token。 希望以上内容对您有所帮助。如有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值