我正在使用JWT保护节点js URL https://github.com/auth0/express- jwt
要创建JWT令牌用户会话,我只需执行以下操作:
-> auth/signup -> jwt.sign(user_profile,secret,expireInMinutes:{900000000 /*almost never expires*/});
或在登录电话的情况下
-> auth/login -> jwt.sign(user_profile,secret,expireInMinutes:{900000000 /*almost never expires*/});
每次调用受保护的URL时,我都会检查req.userJWT中间件是否自动设置了该URL 。
req.user
现在我想知道:
1-调用sign()时,JWT令牌存储在哪里?
2-每次调用受保护的网址时,我都必须验证()令牌吗?如果是,为什么?
3-当我为已经签名的用户设置新令牌时,旧令牌(如果存在)会被删除吗?如果未设置有效期限或例如5年该怎么办?
4-为什么我不能在同一浏览器/应用程序页面上设置新令牌?如果我注册了新令牌但令牌匹配(我检查了),则会收到无效的签名错误,就像我在同一浏览器上无法登录多个用户一样
您必须已经使用其他用户的先前答复来弄清楚所有先前问题的答案,但是我也会尝试为他人解决一些问题:
调用sign时,已签名的令牌不会存储在任何地方,它由sign函数返回,然后必须将其发送给客户端,以便in可以存储在客户端。(例如会话存储,本地存储或cookie)
是的你是。这个想法是,一旦客户端获得令牌,客户端将在每次发出请求时将令牌发送到服务器。服务器处理令牌,以确定特定的客户端是否已经通过身份验证。
3-当我为已经签名的用户设置新令牌时,旧令牌(如果存在)会被删除吗?如果未设置有效期限或例如5年怎么办?
与第1点的答案略相关。调用sign函数将仅生成另一个标记。令牌的到期时间存储在签名令牌本身中。因此,每次服务器从客户端获取令牌时,都会在令牌验证过程中检查过期时间。重要的是要注意,已签名的令牌只是您在签名期间作为参数传递的“ user_profile”对象,以及添加到该对象的其他字段(例如到期日期)。 因此,一个客户端可以在客户端存储多个令牌。只要它们尚未过期,它们都将有效。但是,其想法是仅在旧令牌过期后再次对客户端进行身份验证后才将令牌发送给客户端。
与第1点的答案略相关。调用sign函数将仅生成另一个标记。令牌的到期时间存储在签名令牌本身中。因此,每次服务器从客户端获取令牌时,都会在令牌验证过程中检查过期时间。重要的是要注意,已签名的令牌只是您在签名期间作为参数传递的“ user_profile”对象,以及添加到该对象的其他字段(例如到期日期)。
因此,一个客户端可以在客户端存储多个令牌。只要它们尚未过期,它们都将有效。但是,其想法是仅在旧令牌过期后再次对客户端进行身份验证后才将令牌发送给客户端。
这个想法是每个浏览器有1个用户。由于在这种情况下,浏览器是客户端。我无法想到用例中每个浏览器/客户端需要有多个用户,因此您显然做错了事。这并不是说不可能将多个令牌发送到同一浏览器/客户端。