NextAuth.js：JWT 秘密破解应用程序

Posted 2023-02-21

技术标签:

【中文标题】NextAuth.js：JWT 秘密破解应用程序【英文标题】：NextAuth.js: JWT secret breaks application 【发布时间】：2022-01-07 11:31:48 【问题描述】：

[我正在使用 Next.js (11.1.2) + NextAuth (4.0.0-beta.7) 登录 Strapi API，仅使用凭据提供程序 (JWT)。]

整个身份验证流程都在使用这个[...nextauth].js：

import NextAuth from "next-auth"
import CredentialsProvider from 'next-auth/providers/credentials'

export default NextAuth(
  providers: [
    CredentialsProvider(
      name: 'AppName',
      credentials: 
        email: label: "Email", type: "text", placeholder: "daveglow@foomail.com",
        password:   label: "Password", type: "password" ,
      ,
      async authorize(credentials, req) 
        const res = await fetch(process.env.CREDENTIALS_AUTH_URL, 
          method: 'POST',
          body: JSON.stringify(credentials),
          headers:  "Content-Type": "application/json" 
        )
        const user = await res.json()

        if (res.ok && user) 
          return user
        
        return null
      
    )
  ],
  session: 
    strategy: "jwt",
    maxAge: 30 * 24 * 60 * 60 // 30 days
  ,
  pages: 
    signIn: '/signin',
    signOut: '/signin',
    error: '/signin'
  ,
)

但在用户登录几秒钟后，终端显示此消息并丢弃会话：

[next-auth][warn][NO_SECRET] https://next-auth.js.org/warnings#no_secret
[next-auth][error][JWT_SESSION_ERROR] https://next-auth.js.org/errors#jwt_session_error decryption operation failed 
  message: 'decryption operation failed',
  stack: 'JWEDecryptionFailed: decryption operation failed\n'

所以，我尝试添加：

secret: process.env.SECRET, //I've created using $ openssl rand -base64 32

然后我收到两条不同的消息

浏览器控制台：

[next-auth][error][CLIENT_FETCH_ERROR] 
https://next-auth.js.org/errors#client_fetch_error

VS 代码终端：

[next-auth][error][CALLBACK_CREDENTIALS_JWT_ERROR] 
https://next-auth.js.org/errors#callback_credentials_jwt_error Signin in with credentials only supported if JWT strategy is enabled UnsupportedStrategy [UnsupportedStrategyError]: Signin in with credentials only supported if JWT strategy is enabled

我尝试了几个不同的选项，但结果很混乱。而现在，我不知道该怎么办。 :( 你能帮帮我吗？

【问题讨论】：

重新部署应用后是否遇到问题？不，我现在不能部署，我只是在本地运行。 【参考方案1】：

我升级到了 4.0.1 版。修复了问题。

【讨论】：

【参考方案2】：

这可能是在 beta 7 版本的 next-auth 中引入的错误，如 https://github.com/nextauthjs/next-auth/issues/3216 中所述

【讨论】：

太棒了！谢谢唐纳德【参考方案3】：

我不是专家。但我认为这是库 NEXT auth 4.0.0 的当前问题

我可以使用“next-auth”版本解决问题：“^3.25.0”。并关注了这个tutorial

【讨论】：