如何使用 MQTT 处理 JWT 撤销

How to handle JWT revocation with MQTT

按照 this Auth0 article 中的说明,我使用 "JWT" 作为用户名并使用 JWT 令牌作为密码成功验证了 MQTT 客户端。

然而,在我的用例中,JWT 令牌是短暂的。客户端必须在当前令牌到期日期之前获取新令牌,然后将其提供给 MQTT 服务器。否则,连接将被服务器终止。

我的问题是:如何实现令牌更新?它是来自客户端的发布消息吗?针对哪个主题?我是否断开客户端,并让客户端使用新令牌重新进行身份验证?或者有别的办法吗?

最简单的方法是实施异步服务,该服务会定期检查您连接的客户端并读取令牌时间戳。 如果时间戳太旧 - 强制断开客户端连接,然后重新连接。

根据您使用的系统,您可以将此功能添加到您使用的 Message Broker。

例如,在 HiveMQ 中,您可以轻松地插入一个异步回调,它会安排这类后台作业并定期执行。

HiveMQ 的扩展系统有详细的文档,您可以在这里找到一些示例:https://www.hivemq.com/docs/4/extensions/services.html#managed-extension-executor

考虑刷新 JWT 令牌很重要,因为令牌有到期日期。如果设备通过 MQTT 连接并且其令牌过期,MQTT 代理应自动断开设备与代理的连接。您可以通过自动刷新令牌来防止设备断开连接。

以下示例说明了如何检查令牌是否已过期,如果已过期,如何在不断开设备连接的情况下使用新令牌重新连接。

long secsSinceRefresh = ((new DateTime()).getMillis() - iat.getMillis()) / 1000;
if (secsSinceRefresh > (options.tokenExpMins * 60)) {
  System.out.format("\tRefreshing token after: %d seconds\n", secsSinceRefresh);
  iat = new DateTime();
  if (options.algorithm.equals("RS256")) {
    connectOptions.setPassword(
        createJwtRsa(options.projectId, options.privateKeyFile).toCharArray());
  } else if (options.algorithm.equals("ES256")) {
    connectOptions.setPassword(
        createJwtEs(options.projectId, options.privateKeyFile).toCharArray());
  } else {
    throw new IllegalArgumentException(
        "Invalid algorithm " + options.algorithm + ". Should be one of 'RS256' or 'ES256'.");
  }
  client.disconnect();
  client.connect();
  attachCallback(client, options.deviceId);
}