使JSON Web令牌失效

对于我正在从事的一个新的node.js项目，我正在考虑从基于cookie的会话方法(我的意思是，将id存储到用户浏览器中包含用户会话的键值存储中)切换到使用JSON Web Tokens (jwt)的基于令牌的会话方法(没有键值存储)。

这个项目是一个利用socket的游戏。IO——在一个会话(web和socket.io)中有多个通信通道的情况下，有一个基于令牌的会话会很有用。

如何使用jwt方法从服务器提供令牌/会话失效?

我还想了解使用这种范例应该注意哪些常见的(或不常见的)陷阱/攻击。例如，如果这种模式容易受到与基于会话存储/cookie的方法相同/不同类型的攻击。

所以，假设我有以下内容(改编自this和this):

会话存储登录:

app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        // Create session token
        var token= createSessionToken();

        // Add to a key-value database
        KeyValueStore.add({token: {userid: profile.id, expiresInMinutes: 60}});

        // The client should save this session token in a cookie
        response.json({sessionToken: token});
    });
}

口令登录:

var jwt = require('jsonwebtoken');
app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        var token = jwt.sign(profile, 'My Super Secret', {expiresInMinutes: 60});
        response.json({token: token});
    });
}

会话存储方法的注销(或失效)需要更新KeyValueStore 使用指定的令牌创建数据库。

在基于令牌的方法中似乎不存在这样的机制，因为令牌本身将包含通常存在于键值存储中的信息。

当前回答

代币的有效期为1天每天建立一个黑名单。将无效/注销令牌放入黑名单

对于令牌验证，首先检查令牌的过期时间，如果令牌没有过期，则检查黑名单。

对于长会话需求，应该有一种机制来延长令牌过期时间。

2016-10-29 08:11:41

其他回答

If you are using axios or a similar promise-based http request lib you can simply destroy token on the front-end inside the .then() part. It will be launched in the response .then() part after user executes this function (result code from the server endpoint must be ok, 200). After user clicks this route while searching for data, if database field user_enabled is false it will trigger destroying token and user will immediately be logged-off and stopped from accessing protected routes/pages. We don't have to await for token to expire while user is permanently logged on.

function searchForData() {   // front-end js function, user searches for the data
    // protected route, token that is sent along http request for verification
    var validToken = 'Bearer ' + whereYouStoredToken; // token stored in the browser 

    // route will trigger destroying token when user clicks and executes this func
    axios.post('/my-data', {headers: {'Authorization': validToken}})
     .then((response) => {
   // If Admin set user_enabled in the db as false, we destroy token in the browser localStorage
       if (response.data.user_enabled === false) {  // user_enabled is field in the db
           window.localStorage.clear();  // we destroy token and other credentials
       }  
    });
     .catch((e) => {
       console.log(e);
    });
}

2019-11-14 15:29:25

上面的想法很好，但是有一种非常简单的方法可以使所有现有的jwt无效，那就是简单地改变秘密。

如果您的服务器创建了JWT，用一个秘密(JWS)对其进行签名，然后将其发送给客户端，简单地更改秘密将使所有现有的令牌无效，并要求所有用户获得一个新的令牌进行身份验证，因为他们的旧令牌突然根据服务器变得无效。

它不需要对实际的令牌内容(或查找ID)进行任何修改。

显然，这仅适用于当您希望所有现有令牌过期时的紧急情况，对于每个令牌过期，需要上述解决方案之一(例如短令牌过期时间或令牌内存储的密钥无效)。

2014-07-16 06:36:37

我只是保存令牌到用户表，当用户登录时，我将更新新的令牌，当auth等于用户当前jwt。

我认为这不是最好的解决方案，但对我来说是可行的。

2018-05-22 15:04:58

另一种选择是为关键的API端点提供一个中间件脚本。如果管理员使令牌失效，此中间件脚本将检入数据库。这种解决方案可能适用于不需要立即完全阻止用户访问的情况。

2020-08-04 09:10:47

如果“注销所有设备”选项是可接受的(在大多数情况下是):