У меня есть файл cookie, содержащий подписанный JWT, который действителен в течение 5 минут.Jwt содержит базовую информацию о пользователе (для аутентификации), а также глобально уникальный идентификатор (guid).Я сохраняю эти направляющие в базе данных, если они действительны, и при следующем запросе после истечения срока действия jwt я хочу:
1.) Проверить базу данных на наличие guid и убедиться, что она все еще действительна (не занесен в черный список)
2.) Обновите jwt в файле cookie, указав новую 5-минутную достоверность и ту же информацию
Есть много ошибок, с которыми я столкнулся, но ничего из того, что я пробовалсработало, и мне любопытно, возможно ли это вообще или правильный подход на данный момент.
Я использую пакеты js пакета "passport-jwt" в сочетании с "jsonwebtoken" для создания jwtsи проверьте их.
//////////////////////
//authorization.js
//////////////////////
const JWTStrategy = require('passport-jwt').Strategy;
const jwt = require('jsonwebtoken');
const mongoose = require('mongoose');
require('../models/Guids');
const Guids = mongoose.model('Guids');
module.exports.JWTStrategy = function (passport) {
passport.use('jwt', new JWTStrategy({
jwtFromRequest: req => cookieExtractor(req, 'token'),
secretOrKey: 'secret',
passReqToCallback: true
},
(req, jwt_payload, done) => {
if (Date.now() / 1000 > jwt_payload.exp) {
Guids.findOne({ _id: jwt_payload.guid, userId: jwt_payload.uid })
.then(guid => {
if (guid.valid) {
//REFRESH TOKEN HERE
//????????return done(null, jwt_payload);
} else {
//FORCE USER TO RE-AUTHENTICATE
//???????return done('access token expired');
}
})
.catch(err => {
console.log(err);
return done('failed to validate user');
});
} else {
return done(null, jwt_payload);
}
}
));
};
var cookieExtractor = function (req, tokenName) {
var token = null;
if (req && req.cookies) {
token = req.cookies[tokenName];
} else {
console.log('no cookie found');
}
return token;
};
-
/////////////////////////////
//app.js
/////////////////////////////
const express = require('express');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');
const passport = require('passport');
const jwt = require('jsonwebtoken');
const app = express();
require('./authorization').JWTStrategy(passport);
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());
app.use(cookieParser());
//Protected Route
app.get('/xyz', passport.authenticate('jwt', {session: false}), (req, res) => {
//route logic....
});
//login Route (creates token)
app.post('/login', (req, res, next) => {
payload = {
guid: 12345678901010101',
uid: '123456789',
};
req.login(payload, { session: false }, (err) => {
if (err) {
console.log(err);
} else {
const token = jwt.sign(payload, 'secret', {expiresIn: '30s'});
res.cookie('token', token, { httpOnly: true });
res.redirect('/xyz');
};
}
}
const port = process.env.PORT || 5000;
const server = app.listen(port, () => {
console.log(`Server started on port ${port}`);
});
По умолчанию, когда срок действия токена истекает, промежуточное программное обеспечение для аутентификации на защищенном маршруте немедленно вызывает сбой.
Я хотел бы обойти этот сбой и вместо этого выполнить некоторый код в файле «authorization.js», где в комментарии написано «ОБНОВИТЬ ЗДЕСЬ».
Эта строка кода даже не достигается из-заавтоматический сбой!Я пытался войти в консоль до и после истечения срока действия.
Я даже раньше вручную обходил автоматический сбой, но объект ответа (res), который содержит файлы cookie, недоступен в стратегии passport-jwt.Я немного растерялся из-за того, где эта логика должна быть реализована, если назначенное место является бессмысленным из-за того, что оно является функцией промежуточного программного обеспечения.
Кроме того, если защищенный маршрут является POST, и токен истек после того, как страница"ПОЛУЧИТЬ" успешно, я хотел бы не препятствовать метод POST.Я бы хотел обновить токен, а затем перейти к POST.