gpt4 book ai didi

node.js - 使用 Node.js 和 jsonwebtoken 在哪里做 JWT 到期?

转载 作者:行者123 更新时间:2023-12-05 00:52:21 26 4
gpt4 key购买 nike

我正在创建一个基于 MEAN 的 Web 应用程序,我有以下问题:

在哪里放置 token (JWT)过期更好?现在我正在做的是创建一个没有过期的 token ,在客户端中,我使用该 token 和 10 分钟的过期时间创建了一个 cookie。

在那个 cookie 中,我在我提出的每个请求中添加 10 分钟。如果用户在 10 分钟内处于非事件状态,则该 cookie 将过期并且在没有 token 的情况下发出请求。

最佳答案

在 Chrome 中:

F12 ➡️ Application tab ➡️ Cookies ➡️ Copy and paste token into a REST client like Postman



哎呀,我刚刚为您的 API 获得了一个永久 token !

换句话说,正如你所怀疑的,这不是一个好的做事方式。到期时间应该在 token 的有效负载中 - 这样,您可以验证没有人更改它,因为它将使用您的服务器 secret 值进行签名。

Node JWT 库实际上是 has this functionality built-in :
jwt.sign({
// 1 hour expiration
exp: Math.floor(Date.now() / 1000) + (60 * 60),
data: 'foobar'
}, 'secret');

这并不是说您不能/不应该对您的 token 使用 cookie 过期,但仅依赖它是不安全的。

关于node.js - 使用 Node.js 和 jsonwebtoken 在哪里做 JWT 到期?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43097870/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com