如何手动使 JWT 令牌过期？

Posted 2023-03-09

【中文标题】如何手动使 JWT 令牌过期？

【英文标题】：How to expire a JWT token manually?

【发布时间】：2020-06-13 05:09:33

【问题描述】：

这个问题可能听起来很愚蠢，但我仍然想知道我还能做些什么来实现这个功能。

有一个构建为 REST API 的库存系统，并且有两种类型的用户。

users admins

假设当用户登录时，他获得了一个包含以下信息的 JWT 令牌。

email、user_id、user_level

此令牌在每个私有路由中被解码，并检查用户是否已通过身份验证，并检查用户级别以确保用户有权访问该特定资源。

让我们考虑一个特殊的场景，管理员（Admin A）登录并开始在系统上做一些管理工作。突然，另一个管理员（SuperAdmin）出于某种原因想要将 Admin A 降级为普通用户。 然而，即使现在Admin A只是一个普通用户，他的token仍然是一个Admin token。所以，他仍然可以做管理工作，直到令牌在一小时内自动过期。

那么，在这种情况下，手动使该令牌过期的方法是什么？系统是否应该使用数据库查询来检查每个管理路由的用户级别？或者还有其他方法可以实现吗？

希望你明白这一点。

【参考方案1】：

处理此问题的一种可行方法是维护一个缓存，其中包含自发布初始 JWT 以来权限已更改的用户的 JWT/状态。工作流程通常是这样的：

您的系统向某个用户发出管理员 JWT 有一段时间，该管理员照常使用他的 JWT 然后超级管理员决定降级管理员。由于他无法撤销他的 JWT，而是将一个条目写入黑名单缓存，记录该用户不再是管理员。 从现在开始，服务器将首先根据黑名单缓存检查所有传入请求，以决定使用哪些信息。在示例管理员的情况下，服务器会发现一个缓存条目，然后只授予该用户正常的非管理员权限。 假设您的 JWT 有一个到期日期，缓存最终会删除陈旧的 JWT，从而尽可能减少内存占用。

这里关于缓存的关键是它的速度很快。访问缓存中的条目应该比访问数据库快大约 100 倍。至于缓存中的过期条目，许多缓存实现，例如 Redis，允许在条目被写入时设置它的过期时间。在这种情况下，服务器只需在原始 JWT 中使用 exp 声明设置过期时间。如果设置正确，缓存的内存需求可以保持在最低限度。

【讨论】：

谢谢。这就是我一直在寻找的。只是为了简化我的理解，这就像在 Redis 之类的地方存储降级用户列表及其更新的访问控制策略。对吧？

是的；您为此使用数据库的建议在逻辑上是正确的，除了数据库在实践中可能不够快。所以，像 Redis 这样的缓存可以代替。

在大多数情况下，除非有大量令牌要手动过期或真正的 subPar 表模式，否则数据库应该没问题。

@Joe 不一定，因为每个传入的请求都必须访问数据库。但对于流量较少的 Web 应用程序来说可能是这样。