JWT（JSON Web Token）自动延长过期时间

我在 Auth0 工作，参与了刷新令牌功能的设计。

这完全取决于应用程序的类型，这是我们推荐的方法。

网络应用

一个好的模式是在令牌过期之前刷新它。

将令牌到期时间设置为一周，并在用户每次打开 Web 应用程序时和每隔一小时刷新一次令牌。如果用户超过一周未打开应用程序，他们将不得不再次登录，这是可接受的 Web 应用程序 UX。

要刷新令牌，您的 API 需要一个新端点来接收有效的、未过期的 JWT，并返回具有新过期字段的相同签名 JWT。然后 Web 应用程序会将令牌存储在某处。

移动/本地应用程序

大多数本机应用程序只登录一次。

这个想法是刷新令牌永远不会过期，并且可以始终将其交换为有效的 JWT。

永不过期的令牌的问题是从不意味着永远。手机丢了怎么办？因此，用户需要以某种方式识别它，并且应用程序需要提供一种撤销访问权限的方法。我们决定使用设备的名称，例如“maryo's iPad”。然后用户可以转到应用程序并撤销对“maryo 的 iPad”的访问权限。

另一种方法是撤销特定事件的刷新令牌。一个有趣的事件是更改密码。

我们认为 JWT 对这些用例没有用处，因此我们使用随机生成的字符串并将其存储在我们这边。

---

在您自己处理身份验证的情况下（即不使用像 Auth0 这样的提供程序），以下可能有效：

发行有效期相对较短的 JWT 令牌，例如 15 分钟。应用程序在任何需要令牌的交易之前检查令牌到期日期（令牌包含到期日期）。如果令牌已过期，则它首先要求 API“刷新”令牌（这对 UX 是透明的）。 API 获取令牌刷新请求，但首先检查用户数据库以查看是否针对该用户配置文件设置了“reauth”标志（令牌可以包含用户 ID）。如果存在标志，则拒绝令牌刷新，否则发出新令牌。重复。

例如，当用户重置密码时，将设置数据库后端中的“reauth”标志。当用户下次登录时，该标志将被删除。

此外，假设您有一个策略，用户必须每 72 小时至少登录一次。在这种情况下，您的 API 令牌刷新逻辑还将检查用户数据库中用户的上次登录日期，并在此基础上拒绝/允许令牌刷新。

---

以下是撤销 JWT 访问令牌的步骤：

1）当您登录时，发送 2 个令牌（访问令牌、刷新令牌）以响应客户端。 2) 访问令牌的到期时间较短，刷新的到期时间较长。 3）客户端（前端）将刷新令牌存储在他的本地存储中，并在cookies中存储访问令牌。 4）客户端将使用访问令牌调用api。但是当它过期时，从本地存储中选择刷新令牌并调用 auth server api 来获取新令牌。 5）您的身份验证服务器将公开一个 api，它将接受刷新令牌并检查其有效性并返回一个新的访问令牌。 6) 一旦刷新令牌过期，用户将被注销。

如果您需要更多详细信息，请告诉我，我也可以分享代码（Java + Spring boot）。

---

在将我们的应用程序迁移到 HTML5 并在后端使用 RESTful api 时，我一直在修补。我想出的解决方案是：

成功登录后，客户端会收到一个会话时间为 30 分钟（或任何通常的服务器端会话时间）的令牌。创建客户端计时器以调用服务以在其到期时间之前更新令牌。新令牌将取代未来调用中的现有令牌。

如您所见，这减少了频繁的刷新令牌请求。如果用户在触发更新令牌调用之前关闭浏览器/应用程序，则之前的令牌将及时过期，用户将不得不重新登录。

可以实施更复杂的策略来满足用户的不活动（例如，忽略打开的浏览器选项卡）。在这种情况下，更新令牌调用应包括不应超过定义的会话时间的预期到期时间。应用程序必须相应地跟踪最后的用户交互。

我不喜欢设置长过期的想法，因此这种方法可能不适用于需要较少身份验证的本机应用程序。

---

使 JWT 失效的另一种解决方案是在用户表上实现一个新的 jwt_version 整数列，而无需在后端提供任何额外的安全存储。如果用户希望注销或使现有令牌过期，他们只需增加 jwt_version 字段。

生成新 JWT 时，将 jwt_version 编码到 JWT 有效负载中，如果新 JWT 应该替换所有其他 JWT，则可以选择预先增加值。

验证 JWT 时，将 jwt_version 字段与 user_id 进行比较，并且仅在匹配时才授予授权。

---

今天，很多人选择使用 JWT 进行会话管理，却没有意识到他们为了简单而放弃了什么。我的回答详细说明了问题的第二部分：

那么真正的好处是什么？为什么不只有一个令牌（不是 JWT）并在服务器上保留过期时间？还有其他选择吗？使用 JWT 不适合这种情况吗？

JWT 能够支持基本会话管理，但有一些限制。作为自描述令牌，它们不需要服务器端的任何状态。这使它们具有吸引力。例如，如果服务没有持久层，它就不需要为了会话管理而引入一个持久层。

然而，无国籍状态也是造成它们缺点的主要原因。由于它们仅发布一次，具有固定的内容和到期时间，因此您无法使用典型的会话管理设置来做您想做的事情。

也就是说，您不能按需使它们无效。这意味着您无法实现安全注销，因为无法使已发布的令牌过期。出于同样的原因，您也无法实现空闲超时。一种解决方案是保留黑名单，但这会引入状态。

我更详细地写了一个post explaining these drawbacks。需要明确的是，您可以通过添加更多复杂性（滑动会话、刷新令牌等）来解决这些问题。

至于其他选项，如果您的客户仅通过浏览器与您的服务交互，我强烈建议使用基于 cookie 的会话管理解决方案。我还compiled a list authentication methods目前在网络上广泛使用。

---

jwt-自动刷新

如果您使用的是节点（React / Redux / Universal JS），您可以安装 npm i -S jwt-autorefresh。

此库在访问令牌过期前按用户计算的秒数安排刷新 JWT 令牌（基于令牌中编码的 exp 声明）。它有一个广泛的测试套件并检查相当多的条件，以确保任何奇怪的活动都伴随着关于您环境中的错误配置的描述性消息。

完整的示例实现

import autorefresh from 'jwt-autorefresh'

/** Events in your app that are triggered when your user becomes authorized or deauthorized. */
import { onAuthorize, onDeauthorize } from './events'

/** Your refresh token mechanism, returning a promise that resolves to the new access tokenFunction (library does not care about your method of persisting tokens) */
const refresh = () => {
  const init =  { method: 'POST'
                , headers: { 'Content-Type': `application/x-www-form-urlencoded` }
                , body: `refresh_token=${localStorage.refresh_token}&grant_type=refresh_token`
                }
  return fetch('/oauth/token', init)
    .then(res => res.json())
    .then(({ token_type, access_token, expires_in, refresh_token }) => {
      localStorage.access_token = access_token
      localStorage.refresh_token = refresh_token
      return access_token
    })
}

/** You supply a leadSeconds number or function that generates a number of seconds that the refresh should occur prior to the access token expiring */
const leadSeconds = () => {
  /** Generate random additional seconds (up to 30 in this case) to append to the lead time to ensure multiple clients dont schedule simultaneous refresh */
  const jitter = Math.floor(Math.random() * 30)

  /** Schedule autorefresh to occur 60 to 90 seconds prior to token expiration */
  return 60 + jitter
}

let start = autorefresh({ refresh, leadSeconds })
let cancel = () => {}
onAuthorize(access_token => {
  cancel()
  cancel = start(access_token)
})

onDeauthorize(() => cancel())

免责声明：我是维护者

---

好问题 - 问题本身包含丰富的信息。

文章 Refresh Tokens: When to Use Them and How They Interact with JWTs 为这种情况提供了一个好主意。一些要点是：-

刷新令牌携带获取新访问令牌所需的信息。

刷新令牌也可以过期，但寿命相当长。

刷新令牌通常受到严格的存储要求，以确保它们不会泄露。

它们也可以被授权服务器列入黑名单。

另请查看 auth0/angular-jwt angularjs

对于 Web API。阅读Enable OAuth Refresh Tokens in AngularJS App using ASP .NET Web API 2, and Owin

---

我实际上使用 Guzzle 客户端在 PHP 中实现了这一点，为 api 创建了一个客户端库，但这个概念应该适用于其他平台。

基本上，我发行了两个令牌，一个是短的（5 分钟），一个是一周后到期的长的。如果客户端库收到对某个请求的 401 响应，则客户端库使用中间件尝试刷新一次短令牌。然后它会再次尝试原始请求，如果它能够刷新得到正确的响应，对用户透明。如果失败，它只会将 401 发送给用户。

如果短令牌已过期，但仍然是真实的，并且长令牌是有效且真实的，它将使用长令牌验证的服务上的特殊端点刷新短令牌（这是它唯一可以使用的东西）。然后它将使用短令牌来获取新的长令牌，从而在每次刷新短令牌时将其延长一周。

这种方法还允许我们在最多 5 分钟内撤销访问权限，这对于我们的使用来说是可以接受的，而无需存储令牌黑名单。

后期编辑：在我脑海中浮现这几个月后重新阅读，我应该指出，您可以在刷新短令牌时撤销访问权限，因为它为更昂贵的调用提供了机会（例如调用数据库以查看用户已被禁止）而无需为每次调用您的服务付费。

---

我通过在令牌数据中添加一个变量解决了这个问题：

softexp - I set this to 5 mins (300 seconds)

在强制用户再次登录之前，我将 expiresIn 选项设置为我想要的时间。我的设置为30分钟。这必须大于 softexp 的值。

当我的客户端应用程序向服务器 API 发送请求时（需要令牌，例如客户列表页面），服务器会根据其原始过期 (expiresIn) 值检查提交的令牌是否仍然有效。如果它无效，服务器将响应此错误的特定状态，例如。 INVALID_TOKEN。

如果令牌基于 expiredIn 值仍然有效，但它已经超过 softexp 值，则服务器将针对此错误以单独的状态响应，例如。 EXPIRED_TOKEN：

(Math.floor(Date.now() / 1000) > decoded.softexp)

在客户端，如果收到 EXPIRED_TOKEN 响应，它应该通过向服务器发送更新请求来自动更新令牌。这对用户是透明的，并且会自动被客户端应用程序处理。

服务器中的更新方法必须检查令牌是否仍然有效：

jwt.verify(token, secret, (err, decoded) => {})

如果上述方法失败，服务器将拒绝更新令牌。

---

这种方法怎么样：

对于每个客户端请求，服务器将令牌的过期时间与 (currentTime - lastAccessTime) 进行比较

如果 expireTime < (currentTime - lastAccessedTime)，它将最后的 lastAccessedTime 更改为 currentTime。

如果浏览器的不活动持续时间超过expirationTime，或者浏览器窗口关闭并且expirationTime > (currentTime - lastAccessedTime)，则服务器可以使令牌过期并要求用户再次登录。

在这种情况下，我们不需要额外的端点来刷新令牌。将不胜感激任何反馈。

---

参考 - Refresh Expired JWT Example

另一种选择是，一旦 JWT 过期，用户/系统将调用另一个 url，假设 /refreshtoken。与此请求一起，过期的 JWT 也应该被传递。然后，服务器将返回一个可供用户/系统使用的新 JWT。

https://i.stack.imgur.com/u0cRi.png

---

我知道这是一个老问题，但我使用会话和令牌身份验证的混合。我的应用程序是微服务的组合，因此我需要使用基于令牌的身份验证，这样每个微服务都不需要访问集中式数据库进行身份验证。我向我的用户发出 2 个 JWT（由不同的秘密签名）：

标准 JWT，用于对请求进行身份验证。此令牌将在 15 分钟后过期。用作放置在安全 cookie 中的刷新令牌的 JWT。只有一个端点（实际上是它自己的微服务）接受这个令牌，它是 JWT 刷新端点。它必须伴随着帖子正文中的 CSRF 令牌，以防止该端点上的 CRSF。 JWT 刷新端点将会话存储在数据库中（会话的 id 和用户被编码到刷新 JWT 中）。这允许用户或管理员使刷新令牌无效，因为令牌必须同时验证并匹配该用户的会话。

这工作得很好，但比仅使用基于会话的身份验证与 cookie 和 CSRF 令牌要复杂得多。因此，如果您没有微服务，那么基于会话的身份验证可能是要走的路。

---

如果您使用的是 AWS Amplify 和 Cognito，这将为您带来神奇的效果：

使用 Auth.currentSession() 获取当前的有效令牌，如果当前已过期，则获取新令牌。 Amplify 将处理它作为后备，使用一些间隔作业以每 x 分钟（可能 10 分钟）按需刷新令牌。如果您有一个长时间运行的过程，例如上传一个需要一个多小时的非常大的视频（可能是由于网络速度较慢），那么您的令牌将在上传期间过期并且 amplify 不会为您自动更新。在这种情况下，此策略将起作用。定期更新您的令牌。文档中没有提到如何按需刷新，所以在这里。

import { Auth } from 'aws-amplify';

try {
  const cognitoUser = await Auth.currentAuthenticatedUser();
  const currentSession = await Auth.currentSession();
  cognitoUser.refreshSession(currentSession.refreshToken, (err, session) => {
    console.log('session', err, session);
    const { idToken, refreshToken, accessToken } = session;
    // do whatever you want to do now :)
  });
} catch (e) {
  console.log('Unable to refresh Token', e);
}

来源：https://github.com/aws-amplify/amplify-js/issues/2560

---

services.Configure(Configuration.GetSection("ApplicationSettings"));

        services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2); 

        services.AddDbContext<AuthenticationContext>(options =>
        options.UseSqlServer(Configuration.GetConnectionString("IdentityConnection")));

        services.AddDefaultIdentity<ApplicationUser>()
            .AddEntityFrameworkStores<AuthenticationContext>();

        services.Configure<IdentityOptions>(options =>
        {
            options.Password.RequireDigit = false;
            options.Password.RequireNonAlphanumeric = false;
            options.Password.RequireLowercase = false;
            options.Password.RequireUppercase = false;
            options.Password.RequiredLength = 4;
        }
        );

        services.AddCors();

        //Jwt Authentication

        var key = Encoding.UTF8.GetBytes(Configuration["ApplicationSettings:JWT_Secret"].ToString());

        services.AddAuthentication(x =>
        {
            x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
            x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            x.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
        }).AddJwtBearer(x=> {
            x.RequireHttpsMetadata = false;
            x.SaveToken = false;
            x.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(key),
                ValidateIssuer = false,
                ValidateAudience = false,
                ClockSkew = TimeSpan.Zero
            };
        });
    }

---