当我使用旧的刷新令牌时,为啥刷新端点会返回新的令牌?

Posted

技术标签:

【中文标题】当我使用旧的刷新令牌时,为啥刷新端点会返回新的令牌?【英文标题】:Why refresh endpoint return new tokens when i use old refresh token?当我使用旧的刷新令牌时,为什么刷新端点会返回新的令牌? 【发布时间】:2021-02-04 19:18:34 【问题描述】:

您好,我使用 npm 的这两个库:bcryptjsonwebtoken

我创建/refresh-token 端点并希望生成新的访问和刷新令牌对。所以我将刷新令牌发送到端点并检查它(如果不为空),从数据库中从令牌声明中保存的数据中获取用户,并将请求中的刷新令牌与存储在数据库中的散列刷新令牌进行比较。如果isMatch 为真,我会生成一对新的令牌并使用bcrypt 从刷新令牌创建散列。接下来,我将此哈希保存到数据库中并将新对返回给用户。但是,当我发送与以前相同的刷新令牌时,我仍然会得到新的一对,如果我发送访问令牌而不是刷新令牌isMatch 返回 true 并且我得到新的一对令牌,则更是如此。哈希是从不同的 jwt(不同的字符串)创建的,那么如何在比较中始终为真呢?

import jwt from 'jsonwebtoken';
import bcrypt from 'bcrypt';
import  User  from '../entities/user.model';
import  getRepository  from 'typeorm';
import  InternalServerException  from '../exceptions/exceptions';

interface AccessPayload 
  email: string;
  role: string;
;

export class JwtTokenProvider 

  private readonly jwtSecret: string = process.env.JWT_SECRET as string;

  generateAccessTokens = async (user: User) => 
    if (!user) 
      throw new InternalServerException('Failed to generate JWT Token - User is null');
    ;
    const accessPayload: AccessPayload = email: user.email, role: user.role as string;
    const accessToken: string = jwt.sign(accessPayload, this.jwtSecret, 
      expiresIn:  process.env.TOKEN_EXP_TIME as string
    );
    const refreshToken: string = jwt.sign(accessPayload, this.jwtSecret, 
      expiresIn: process.env.REFRESH_EXP_TIME as string
    );
    this.saveRefreshToken(user, refreshToken);
    return  accessToken, refreshToken ;
  ;

  getUserFromToken = async (token: string): Promise<User | undefined>  => 
    const tokenPayload = await jwt.verify(token, this.jwtSecret) as AccessPayload;
    return await getRepository(User).findOne( email: tokenPayload.email ,  relations: ['groupScope'] );
  ;

  compareRefreshTokens = async (plainToken: string, hashToken: string): Promise<boolean> => 
    return await bcrypt.compare(plainToken, hashToken);
  ;

  private saveRefreshToken = async (user: User, refreshToken: string): Promise<any> => 
    user.refreshToken = await this.encodeRefreshToken(refreshToken);
    await getRepository(User).save(user);
  ;

  private encodeRefreshToken = async (refreshToken: string): Promise<string> => 
    return await bcrypt.hash(refreshToken, 12);
  
;

public refreshToken = async (request: Request, response: Response, next: NextFunction) => 
    try 
     const requestToken = request.body.refresh_token as string;
      if (!requestToken) 
        return next(new BadRequestException('Refresh token cannot be empty'));
      
      const user = await this.jwtProvider.getUserFromToken(requestToken);
      if (!user) 
        return next(new AuthorizedException('Cannot get user from token'));
      
      const isMatch = await this.jwtProvider.compareRefreshTokens(requestToken, user.refreshToken);
      if(!isMatch) 
        return next(new AuthorizedException('Refresh token is incorrect'));
      
      const  accessToken, refreshToken  = await this.jwtProvider.generateAccessTokens(user);
      response.status(200).send( accessToken, refreshToken );
     catch (error) 
        return next(new Error(error.message));
      ;
  ;

【问题讨论】:

【参考方案1】:

来自bcrypt repo page:

最大输入长度为 72 个字节(注意 UTF8 编码字符最多使用 4 个字节),生成的哈希长度为 60 个字符。

这意味着只使用字符串的前 72 个字节。匹配刷新令牌时忽略任何额外的字节(注意这不是前 72 个字符)。由于匹配了 72 个字节,因此您在使用旧令牌时会收到成功响应。

一种解决方法是首先使用 SHA-256 对字符串进行哈希处理,然后使用 bcrypt。

import  createHash  from 'crypto';

const hash = createHash('sha256').update(user.refreshToken).digest('hex');
user.refreshToken = bcrypt.hashSync(hash, salt);

然后(可能在另一个文件中):

import  createHash  from 'crypto';

const hash = createHash('sha256').update(refreshToken).digest('hex');
if (await bcrypt.compare(hash, user.refreshToken)) 
  // refresh tokens are matched!

【讨论】:

以上是关于当我使用旧的刷新令牌时,为啥刷新端点会返回新的令牌?的主要内容,如果未能解决你的问题,请参考以下文章

如果颁发了新的刷新令牌,旧的刷新令牌是不是仍然有效?

为啥刷新令牌过期不返回?

为啥使用 JWT 刷新令牌

我是不是使用刷新令牌?

刷新后如何使以前的 JWT 令牌无效

如何使 Identity Core 生成的访问令牌无效?