【无标题】

jwt token的payload主要内容

复制代码
  "token": {
    "trigger": "signIn",
    "iat": 1716279911,
    "exp": 1724055911,
    "jti": "f8f683ce-08a2-44b1-b109-139fb297959d"
  }

其中iat 是当前令牌分发时间,每次登录重新生成令牌,刷新该值.所以具体思路是,重置密码的时候记录下当前重置时间

复制代码
      const user = await prisma.user.update({
        where: {
          email: input.email,
        },
        data: {
          password: getSHA256ofJSON(input.newPassword),
        },
      })

 
      await prisma.userResetToken.update({
        where: { identifier: input.email },
        data: { resetTime: new Date() },
      })

然后在next-auth jwt回调中进行判断

复制代码
         if (token.email && token.exp && token.iat) {
            const userResetToken = await prisma.userResetToken.findFirst({
              where: { identifier: token.email },
            })

            if (userResetToken && userResetToken.resetTime) {
              const resetTime = userResetToken.resetTime

              console.log('重置token exp')

              // token.exp = '1716107284'   //想设置下token的exp 为一个过期时间,但是并没有更新到客户端
            
            // 如果jwt 创建时间少于重置密码最新时间,说明jwt过期了
              if (
                resetTime && (token.iat as number) < resetTime.getTime()
              ) {
                console.log('jwt过期 重新登录')
                return null
              }
            }
          }

原本想设置token 过期并可以更新到客户端.重写jwt 的decode

复制代码
      async decode(params: JWTDecodeParams) {
          const result = (await decode({
            token: params.token,
            secret: params.secret ??process.env.NEXTAUTH_SECRET ,
          })) as any
      
          return result
        },

重写jwt 的encode

复制代码
        async encode(params: JWTEncodeParams) {
        const { token, secret } = params

        // 创建时间小于当前账户的重置密码时间,让token 过期
        if (token && token.email && token.exp) {
          const userResetToken = await prisma.userResetToken.findFirst({
            where: { identifier: token.email },
          })
          if (userResetToken) {
            const resetTime = userResetToken.resetTime

            // 如果jwt 创建时间少于重置密码最新时间,说明jwt过期了
            if (resetTime && (token.iat as any) < resetTime.getTime() ) {
              // token.email = "test@123.com"
              token.exp = Date.now()
            }
          }
        }

        const encodedToken = encode(params,secret)
        return encodedToken
      },

测试流程。

浏览器A登录 浏览器B登录,浏览器A重置密码,查看浏览器B请求,登录状态已经无效

其他方案:

1 .黑名单校验

记录用户登录的每一个token

修改密码后让之前的token 全部列入黑名单

每次用户请求服务器都校验token是否在黑名单

问题:(还不清楚在next-auth 中怎么实现,我们现在没有手动记录token)

  1. 版本号校验

记录用户登录的每一个token,设置一个版本号

修改密码同时修改用户token版本号(加1==)

访问时从token中取出版本号和用户id 进行对比,不一致就不通过

问题:(还不清楚在next-auth 中怎么实现,我们现在没有手动记录token)

无为而治

只让前端清理token,后端不理会。(大多数)

相关推荐
Brilliant Nemo2 分钟前
集成CommitLInt+ESLint+Prettier+StyleLint+LintStaged
javascript
嘉琪0014 分钟前
2025 js——面试题(7)——ajax相关
开发语言·javascript·ajax
SoniaChen336 分钟前
Rust基础-part3-函数
开发语言·后端·rust
南岸月明9 分钟前
我与技术无缘,只想副业搞钱
前端
一个天蝎座 白勺 程序猿9 分钟前
飞算JavaAI进阶:重塑Java开发范式的AI革命
java·开发语言·人工智能
liu_yueyang11 分钟前
JavaScript VMP (Virtual Machine Protection) 分析与调试
开发语言·javascript·ecmascript
前端 贾公子12 分钟前
tailwindCSS === 使用插件自动类名排序
java·开发语言
10岁的博客13 分钟前
代码编程:一场思维与创造力的革命
开发语言·算法
七七七七0713 分钟前
C++类对象多态基础语法【超详细】
开发语言·c++
gzzeason36 分钟前
在HTML中CSS三种使用方式
前端·css·html