使用JWT时是否需要护照

is passport required when using JWT

非常基本的问题,但我可能错过了大局中非常重要的事情。 使用 JWT 身份验证时,我不知道是否需要 passport.js。大多数例子都有它,但我没有看到需要。

在我的应用程序中,有一个 /login 路由,一旦用户身份验证成功(本地身份验证,我检查用户,数据库中的哈希对)我创建一个带有用户 ID 的令牌,设置一个到期时间,对其进行签名并将其作为响应中的 cookie 发回。然后我检查请求 cookie,解密,如果它们包含用户 ID 且未过期,我认为请求已通过身份验证。 (而且流量只有在发生任何变化时才为 https)

我是不是做错了什么,因为我在这个过程中没有护照等?

不,JWT (RFC 7519)是一个标准。 passport.js是使用JWT的实现。不需要。