快速中间件中的 Node.js JWT 刷新令牌

【问题标题】:Node.js JWT refresh token in express middleware快速中间件中的 Node.js JWT 刷新令牌
【发布时间】:2018-07-17 16:11:07
【问题描述】:

我正在尝试在我的 express 中间件中配置一个令牌刷新方法,该方法在对 api 的每个请求时都会验证令牌。我将检查令牌是否过期,如果是,我将签署一个具有新到期日期的新令牌。问题是我必须再次发送令牌,但是这样做我丢失了发送令牌和响应的原始请求,并且 api 不会继续到目标端点。 如何发回新刷新的令牌并继续请求?

我的快速中间件检查令牌:

apiRouter.use(function(req, res, next) {
      var token = req.body.token || req.query.token || req.headers['x-access-token'];
      if (token) {
        jwt.verify(token, app.get('superSecret'), function(err, decoded) {
          if (err) {
            //Here I can check if the received token in the request expired
            if(err.name == "TokenExpiredError"){
                var refreshedToken = jwt.sign({
                    success: true,
                    }, app.get('superSecret'), {
                        expiresIn: '5m'
                    });
                //Here need to send the new token back to the client and continue with the request
                //but if I use return res.... the request don't continue to next()
                next();
              }else if (err) {
                return res.json({ success: false, message: 'Failed to authenticate token.' });
              }         
          } else {
            //If no error with the token, continue 
            next();
          };
        });
      } else {
        return res.status(403).send({
            success: false,
            message: 'No token provided.'
        });
      }
    });

我不知道这是否是最好的方法。

谢谢。

【问题讨论】:

    标签: node.js api express jwt token


    【解决方案1】:

    您不能为单个请求向客户端发送两次响应,因此更好的方法是发送带有实际 API 响应的访问令牌。

    apiRouter.use(function(req, res, next) {
      var token = req.body.token || req.query.token || req.headers['x-access-token'];
      if (token) {
        jwt.verify(token, app.get('superSecret'), function(err, decoded) {
          if (err) {
            //Here I can check if the received token in the request expired
            if(err.name == "TokenExpiredError"){
                var refreshedToken = jwt.sign({
                    success: true,
                    }, app.get('superSecret'), {
                        expiresIn: '5m'
                    });
                request.apiToken = refreshedToken;
                next();
              }else if (err) {
                return res.json({ success: false, message: 'Failed to authenticate token.' });
              }         
          } else {
            //If no error with the token, continue 
            request.apiToken = token;
            next();
          };
        });
      } else {
        return res.status(403).send({
            success: false,
            message: 'No token provided.'
        });
      }
    });

    然后当您发送响应然后发送带有令牌的响应时,您可以使用 request.apiToken 获得。

    但更好的策略是提供客户端刷新令牌,让客户端发出请求以获取刷新令牌。

    你可以阅读更多关于here

    【讨论】:

    • 谢谢 Ridham,我正在考虑这样做。在这种情况下,如果请求具有 apiToken 属性,我必须在令牌验证/刷新之后检查每条路由,并将其附加到目标路由中的响应。对吗?
    • 是的,但简单的方法是创建一个函数,该函数将根据您的格式生成响应并附加令牌。像这样的东西。我创建这个是为了生成错误codepad.co/snippet/0pUtNxi3。您可以考虑类似的方法来创建统一的响应结构
    • 谢谢 Ridham!
    猜你喜欢
    • 2016-03-05
    • 2016-06-25
    • 2019-09-19
    • 1970-01-01
    • 2022-07-22
    • 2019-03-03
    • 2016-11-06
    • 2023-04-04
    • 2021-04-06
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode