我使用passport-jwt来生成我的令牌,但是我注意到令牌永不过期,是否有任何方法可以根据为我设置的规则使特定令牌无效,例如:
'use strict';
const passport = require('passport');
const passportJWT = require('passport-jwt');
const ExtractJwt = passportJWT.ExtractJwt;
const Strategy = passportJWT.Strategy;
const jwt = require('../jwt');
const cfg = jwt.authSecret();
const params = {
secretOrKey: cfg.jwtSecret,
jwtFromRequest: ExtractJwt.fromAuthHeader()
};
module.exports = () => {
const strategy = new Strategy(params, (payload, done) => {
//TODO: Create a custom validate strategy
done(null, payload);
});
passport.use(strategy);
return {
initialize: function() {
return passport.initialize();
},
authenticate: function() {
//TODO: Check if the token is in the expired list
return passport.authenticate('jwt', cfg.jwtSession);
}
};
};
或使某些令牌无效的策略
答案 0 :(得分:9)
JWT的标准是将有效载荷中的到期时间包括在" exp"中。如果你这样做,护照-JWT模块将尊重它,除非你明确告诉它。比自己实现它更容易。
修改
现在有更多代码!
我通常使用npm模块jsonwebtoken来实际创建/签署我的令牌,该令牌可以选择使用有效负载的exp元素中的友好时间偏移来设置到期时间。它的工作原理如下:
const jwt = require('jsonwebtoken');
// in your login route
router.post('/login', (req, res) => {
// do whatever you do to handle authentication, then issue the token:
const token = jwt.sign(req.user, 's00perS3kritCode', { expiresIn: '30m' });
res.send({ token });
});
您的JWT策略可以看起来就像我所看到的那样,它将自动遵守我在上面设置的30分钟的到期时间(显然,您可以设置其他时间)。
答案 1 :(得分:0)
您可以使用以下策略来生成有效期为1小时的JWT令牌。
let token = jwt.sign({
exp: Math.floor(Date.now() / 1000) + (60 * 60),
data: JSON.stringify(user_object)
}, 'secret_key');
res.send({token : 'JWT '+token})
答案 2 :(得分:-2)
我在数据库中创建了一个文档,用于存储生成的令牌,并在用户请求检查令牌是否过期时添加了过期日期。
这是我使用的验证策略。
getTokenDetails()这对我有用。