Nodejs jwt 令牌永不过期
Nodejs jwt token never expires
我使用 jsonwebtoken 创建 jwt 令牌。我将令牌设置为在 5 分钟后过期以进行检查,但令牌永不过期,我总是同时获得 iat 和 exp,如下面的日志所示:
{
sub: '10001',
iat: 1627452909247,
exp: 1627452909547
}
Issue at time: 7/28/2021, 1:15:09 PM | 1627452909247
Expire at time: 7/28/2021, 1:15:09 PM | 1627452909547
下面是我的问题代码和验证令牌:
const crypto = require('crypto');
const path = require('path');
const fs = require('fs');
const jwt = require('jsonwebtoken');
// Public Key
const pathToPublicKey = path.join( __dirname , ".." ,"/id_rsa_pub.pem");
const publicKey = fs.readFileSync(pathToPublicKey , "utf8");
// Private Key
const pathToPrivateKey = path.join( __dirname , ".." ,"/id_rsa_priv.pem");
const privateKey = fs.readFileSync(pathToPrivateKey , "utf8");
//const expiresIn = '5';
const expiresIn = '5m';
//const expiresIn = '1h';
//const expiresIn = '1d';
const issueJWT = (user) => {
const user_id = user.user_id;
const payload = {
sub: user_id,
iat: Date.now()
};
const jwtOptions = {
expiresIn: expiresIn,
algorithm: 'RS256'
};
const signedToken = jwt.sign(payload, privateKey, jwtOptions);
return{
token: "Bearer " + signedToken,
expires: expiresIn,
};
};
const authMiddleware = (req, res, next) => {
const tokenParts = req.headers.authorization.split(" ");
const jwtOptions = {
expiresIn: expiresIn,
algorithms: ['RS256']
};
if(tokenParts[0] === "Bearer" && tokenParts[1].match(/\S+\.\S+\.\S+/) !== null)
{
try {
const verification =jwt.verify(tokenParts[1], publicKey, jwtOptions);
req.jwt = verification ;
next();
} catch (error) {
res.status(401).json({succsess: false , message: 'User Not Authenticated'});
}
}
}
module.exports = { issueJWT, authMiddleware};
试了很多方法还是不行。
时间戳有误。检查 https://jwt.io 中的令牌,并将鼠标指向时间戳以查看如何解释这些值。
JWT 中的时间戳是从 01.01.1970 00:00 UTC 开始以秒计算的 UNIX 时间戳,而不是毫秒(有关详细信息,请参阅 )。
过期时间 exp 的设置方式
const expiresIn = '5m';
const jwtOptions = {
expiresIn: expiresIn,
algorithms: ['RS256']
};
const signedToken = jwt.sign(payload, privateKey, jwtOptions);
是正确的,如果你删除行 iat: Date.now() 你会得到正确的
令牌,即使带有 iat,因为该值会自动包含在内。
{
"iat": 1627506023,
"exp": 1627506323
}
但是如果包含行 iat: Date.now(),它不仅会产生错误的 iat,而且 exp 的计算结果为 iat + 300(300 秒或 5 分钟) 也会出错。
{
"iat": 1627506191289,
"exp": 1627506191589
}
解决方案是简单地从您的代码中删除行 iat: Date.now()。
如果你真的需要一个你想要基于 Date.now() 计算的正确格式的时间戳,你必须将该值除以 1000 并削减小数点,例如:
nbf: Math.floor(Date.now()/1000)
我使用 jsonwebtoken 创建 jwt 令牌。我将令牌设置为在 5 分钟后过期以进行检查,但令牌永不过期,我总是同时获得 iat 和 exp,如下面的日志所示:
{
sub: '10001',
iat: 1627452909247,
exp: 1627452909547
}
Issue at time: 7/28/2021, 1:15:09 PM | 1627452909247
Expire at time: 7/28/2021, 1:15:09 PM | 1627452909547
下面是我的问题代码和验证令牌:
const crypto = require('crypto');
const path = require('path');
const fs = require('fs');
const jwt = require('jsonwebtoken');
// Public Key
const pathToPublicKey = path.join( __dirname , ".." ,"/id_rsa_pub.pem");
const publicKey = fs.readFileSync(pathToPublicKey , "utf8");
// Private Key
const pathToPrivateKey = path.join( __dirname , ".." ,"/id_rsa_priv.pem");
const privateKey = fs.readFileSync(pathToPrivateKey , "utf8");
//const expiresIn = '5';
const expiresIn = '5m';
//const expiresIn = '1h';
//const expiresIn = '1d';
const issueJWT = (user) => {
const user_id = user.user_id;
const payload = {
sub: user_id,
iat: Date.now()
};
const jwtOptions = {
expiresIn: expiresIn,
algorithm: 'RS256'
};
const signedToken = jwt.sign(payload, privateKey, jwtOptions);
return{
token: "Bearer " + signedToken,
expires: expiresIn,
};
};
const authMiddleware = (req, res, next) => {
const tokenParts = req.headers.authorization.split(" ");
const jwtOptions = {
expiresIn: expiresIn,
algorithms: ['RS256']
};
if(tokenParts[0] === "Bearer" && tokenParts[1].match(/\S+\.\S+\.\S+/) !== null)
{
try {
const verification =jwt.verify(tokenParts[1], publicKey, jwtOptions);
req.jwt = verification ;
next();
} catch (error) {
res.status(401).json({succsess: false , message: 'User Not Authenticated'});
}
}
}
module.exports = { issueJWT, authMiddleware};
试了很多方法还是不行。
时间戳有误。检查 https://jwt.io 中的令牌,并将鼠标指向时间戳以查看如何解释这些值。
JWT 中的时间戳是从 01.01.1970 00:00 UTC 开始以秒计算的 UNIX 时间戳,而不是毫秒(有关详细信息,请参阅
过期时间 exp 的设置方式
const expiresIn = '5m';
const jwtOptions = {
expiresIn: expiresIn,
algorithms: ['RS256']
};
const signedToken = jwt.sign(payload, privateKey, jwtOptions);
是正确的,如果你删除行 iat: Date.now() 你会得到正确的
令牌,即使带有 iat,因为该值会自动包含在内。
{
"iat": 1627506023,
"exp": 1627506323
}
但是如果包含行 iat: Date.now(),它不仅会产生错误的 iat,而且 exp 的计算结果为 iat + 300(300 秒或 5 分钟) 也会出错。
{
"iat": 1627506191289,
"exp": 1627506191589
}
解决方案是简单地从您的代码中删除行 iat: Date.now()。
如果你真的需要一个你想要基于 Date.now() 计算的正确格式的时间戳,你必须将该值除以 1000 并削减小数点,例如:
nbf: Math.floor(Date.now()/1000)