我想使用 angular、nodejs 和 express-jwt 实现带有 json web 令牌的滑动过期概念。我对如何做到这一点有点困惑,并且正在努力寻找刷新令牌的任何示例或与这些技术/框架的会话相关的其他材料。
我想到的几个选择是
- 在初始登录后为每个请求生成一个新令牌
- 跟踪服务器端发出的令牌
但老实说,我不确定,请帮助
问问题
11956 次
1 回答
14
我设法实现了这个场景。
我做了什么...
在服务器上:
- 启用用于登录的 API 端点。此端点将使用标头中的 Json Web 令牌进行响应。客户端必须捕获它(使用 $http 拦截器)并保存它(我使用本地存储)。客户端还将管理服务器发送的刷新令牌。
- 在对服务器的每个请求中,配置一个中间件以快速验证令牌。起初我尝试了 express-jwt 模块,但 jsonwebtoken 对我来说是正确的。
对于特定路由,您可能需要禁用中间件。在这种情况下,登录和注销。
var jwtCheck = auth.verifyJWT;
jwtCheck.unless = unless;
app.use('/api', jwtCheck.unless({path: [
'/api/auth/signin',
'/api/auth/signout'
]}));
- 中间件 verifyJWT 始终以标头中的令牌进行响应。如果需要刷新令牌,则调用刷新的函数。
jwtLib 是我自己的库,代码用于创建、刷新和获取 jwt 令牌。
function(req, res, next) {
var newToken,
token = jwtLib.fetch(req.headers);
if(token) {
jwt.verify(token, config.jwt.secret, {
secret: config.jwt.secret
}, function(err, decoded) {
if(err) {
return res.status(401).send({
message: 'User token is not valid'
});
}
//Refresh: If the token needs to be refreshed gets the new refreshed token
newToken = jwtLib.refreshToken(decoded);
if(newToken) {
// Set the JWT refreshed token in http header
res.set('Authorization', 'Bearer ' + newToken);
next();
} else {
res.set('Authorization', 'Bearer ' + token);
next();
}
});
} else {
return res.status(401).send({
message: 'User token is not present'
});
}
};
- 刷新功能(jwtLib)。由于参数需要解码的令牌,请参阅上面的 jsonwebtoken 在调用 jwt.verify() 时解析解码。
如果您在登录期间创建了一个有效期为 4 小时的令牌,并且刷新有效期为 1 小时(1 * 60 * 60 = 3600 秒),这意味着如果用户处于非活动状态 3 小时或更长时间,令牌将被刷新,但不超过 4 小时,因为在这种情况下验证过程会失败(刷新 1 小时窗口)。这避免了在每个请求上生成一个新的令牌,只有当令牌将在这个时间窗口内过期时。
module.exports.refreshToken = function(decoded) {
var token_exp,
now,
newToken;
token_exp = decoded.exp;
now = moment().unix().valueOf();
if((token_exp - now) < config.jwt.TOKEN_REFRESH_EXPIRATION) {
newToken = this.createToken(decoded.user);
if(newToken) {
return newToken;
}
} else {
return null;
}
};
在客户端(Angularjs)上:
- 启用客户端登录。这将调用服务器端点。我使用用 base64 编码的 Http 基本身份验证。您可以使用 base64 角度模块对电子邮件进行编码:密码 请注意,成功后我不会将令牌存储在 localStorage 或 Cookie 上。这将由 http 拦截器管理。
//Base64 encode Basic Authorization (email:password)
$http.defaults.headers.common.Authorization = 'Basic ' + base64.encode(credentials.email + ':' + credentials.password);
return $http.post('/api/auth/signin', {skipAuthorization: true});
- 配置 http 拦截器以在每次请求时将令牌发送到服务器并将令牌存储在响应中。如果收到刷新的令牌,则必须存储该令牌。
// Config HTTP Interceptors
angular.module('auth').config(['$httpProvider',
function($httpProvider) {
// Set the httpProvider interceptor
$httpProvider.interceptors.push(['$q', '$location', 'localStorageService', 'jwtHelper', '$injector',
function($q, $location, localStorageService, jwtHelper, $injector) {
return {
request: function(config) {
var token = localStorageService.get('authToken');
config.headers = config.headers || {};
if (token && !jwtHelper.isTokenExpired(token)) {
config.headers.Authorization = 'Bearer ' + token;
}
return config;
},
requestError: function(rejection) {
return $q.reject(rejection);
},
response: function(response) {
//JWT Token: If the token is a valid JWT token, new or refreshed, save it in the localStorage
var Authentication = $injector.get('Authentication'),
storagedToken = localStorageService.get('authToken'),
receivedToken = response.headers('Authorization');
if(receivedToken) {
receivedToken = Authentication.fetchJwt(receivedToken);
}
if(receivedToken && !jwtHelper.isTokenExpired(receivedToken) && (storagedToken !== receivedToken)) {
//Save Auth token to local storage
localStorageService.set('authToken', receivedToken);
}
return response;
},
responseError: function(rejection) {
var Authentication = $injector.get('Authentication');
switch (rejection.status) {
case 401:
// Deauthenticate the global user
Authentication.signout();
break;
case 403:
// Add unauthorized behaviour
break;
}
return $q.reject(rejection);
}
};
}
]);
}
]);
于 2014-12-17T18:14:29.747 回答