【无标题】

jwt token的payload主要内容

复制代码
  "token": {
    "trigger": "signIn",
    "iat": 1716279911,
    "exp": 1724055911,
    "jti": "f8f683ce-08a2-44b1-b109-139fb297959d"
  }

其中iat 是当前令牌分发时间,每次登录重新生成令牌,刷新该值.所以具体思路是,重置密码的时候记录下当前重置时间

复制代码
      const user = await prisma.user.update({
        where: {
          email: input.email,
        },
        data: {
          password: getSHA256ofJSON(input.newPassword),
        },
      })

 
      await prisma.userResetToken.update({
        where: { identifier: input.email },
        data: { resetTime: new Date() },
      })

然后在next-auth jwt回调中进行判断

复制代码
         if (token.email && token.exp && token.iat) {
            const userResetToken = await prisma.userResetToken.findFirst({
              where: { identifier: token.email },
            })

            if (userResetToken && userResetToken.resetTime) {
              const resetTime = userResetToken.resetTime

              console.log('重置token exp')

              // token.exp = '1716107284'   //想设置下token的exp 为一个过期时间,但是并没有更新到客户端
            
            // 如果jwt 创建时间少于重置密码最新时间,说明jwt过期了
              if (
                resetTime && (token.iat as number) < resetTime.getTime()
              ) {
                console.log('jwt过期 重新登录')
                return null
              }
            }
          }

原本想设置token 过期并可以更新到客户端.重写jwt 的decode

复制代码
      async decode(params: JWTDecodeParams) {
          const result = (await decode({
            token: params.token,
            secret: params.secret ??process.env.NEXTAUTH_SECRET ,
          })) as any
      
          return result
        },

重写jwt 的encode

复制代码
        async encode(params: JWTEncodeParams) {
        const { token, secret } = params

        // 创建时间小于当前账户的重置密码时间,让token 过期
        if (token && token.email && token.exp) {
          const userResetToken = await prisma.userResetToken.findFirst({
            where: { identifier: token.email },
          })
          if (userResetToken) {
            const resetTime = userResetToken.resetTime

            // 如果jwt 创建时间少于重置密码最新时间,说明jwt过期了
            if (resetTime && (token.iat as any) < resetTime.getTime() ) {
              // token.email = "test@123.com"
              token.exp = Date.now()
            }
          }
        }

        const encodedToken = encode(params,secret)
        return encodedToken
      },

测试流程。

浏览器A登录 浏览器B登录,浏览器A重置密码,查看浏览器B请求,登录状态已经无效

其他方案:

1 .黑名单校验

记录用户登录的每一个token

修改密码后让之前的token 全部列入黑名单

每次用户请求服务器都校验token是否在黑名单

问题:(还不清楚在next-auth 中怎么实现,我们现在没有手动记录token)

  1. 版本号校验

记录用户登录的每一个token,设置一个版本号

修改密码同时修改用户token版本号(加1==)

访问时从token中取出版本号和用户id 进行对比,不一致就不通过

问题:(还不清楚在next-auth 中怎么实现,我们现在没有手动记录token)

无为而治

只让前端清理token,后端不理会。(大多数)

相关推荐
excel17 分钟前
Three.js 材质(Material)详解 —— 区别、原理、场景与示例
前端
掘金安东尼38 分钟前
抛弃自定义模态框:原生Dialog的实力
前端·javascript·github
hj5914_前端新手4 小时前
javascript基础- 函数中 this 指向、call、apply、bind
前端·javascript
薛定谔的算法4 小时前
低代码编辑器项目设计与实现:以JSON为核心的数据驱动架构
前端·react.js·前端框架
Hilaku5 小时前
都2025年了,我们还有必要为了兼容性,去写那么多polyfill吗?
前端·javascript·css
yangcode5 小时前
iOS 苹果内购 Storekit 2
前端
LuckySusu5 小时前
【js篇】JavaScript 原型修改 vs 重写:深入理解 constructor的指向问题
前端·javascript
LuckySusu5 小时前
【js篇】如何准确获取对象自身的属性?hasOwnProperty深度解析
前端·javascript
LuckySusu5 小时前
【js篇】深入理解 JavaScript 作用域与作用域链
前端·javascript
LuckySusu5 小时前
【js篇】call() 与 apply()深度对比
前端·javascript