Node.js中JWT过期时间设置与验证：解决"7d"失效问题

本文深入探讨在Node.js应用中使用jsonwebtoken库设置JWT过期时间时可能遇到的“7天”设置不生效的问题。文章通过分析常见代码实现，强调了expiresIn参数的正确用法，并提供了详细的验证方法，特别是如何利用jwt.io等工具检查JWT负载中的exp（过期时间）声明，以确保令牌按预期工作，并区分了JWT过期与Cookie生命周期。

1. JWT过期时间设置概述

JSON Web Token (JWT) 广泛应用于认证和授权场景。在Node.js环境中，jsonwebtoken库是生成和验证JWT的常用工具。设置JWT的过期时间是其核心功能之一，通常通过sign方法的expiresIn选项来指定。这个选项接受多种格式，包括数字（秒）或字符串（如"1h", "7d"）。

一个常见的需求是根据用户选择（例如“记住我”功能）来动态调整JWT的有效期。例如，如果用户选择“不登出”，则令牌有效期为7天；否则为7小时。

以下是一个典型的generateAuthToken函数实现，用于根据doNotLogout参数生成具有不同过期时间的JWT：

const jwt = require("jsonwebtoken");

/**
 * 生成认证JWT令牌
 * @param {string} _id - 用户ID
 * @param {string} name - 用户名
 * @param {string} lastName - 用户姓氏
 * @param {string} email - 用户邮箱
 * @param {boolean} isAdmin - 是否是管理员
 * @param {boolean} doNotLogout - 是否延长登录时间（7天）
 * @returns {string} 生成的JWT令牌
 */
const generateAuthToken = (_id, name, lastName, email, isAdmin, doNotLogout) => {
  // 根据doNotLogout参数设置过期时间
  const expiresIn = doNotLogout ? "7d" : "7h";
  return jwt.sign(
    { _id, name, lastName, email, isAdmin },
    process.env.JWT_SECRET_KEY, // 从环境变量获取密钥
    { expiresIn: expiresIn } // 设置令牌过期时间
  );
};

module.exports = { generateAuthToken };

在实际应用中，这个函数会被集成到用户登录流程中，如下所示：

// ... 其他导入和设置

const loginUser = async (req, res, next) => {
  try {
    const { email, password, doNotLogout } = req.body;
    // ... 用户验证逻辑

    if (user && comparePasswords(password, user.password)) {
      let cookieParams = {
        httpOnly: true,
        secure: process.env.NODE_ENV === "production",
        sameSite: "strict",
      };

      // 如果doNotLogout为真，则设置Cookie的maxAge为7天
      if (doNotLogout) {
        cookieParams = { ...cookieParams, maxAge: 1000 * 60 * 60 * 24 * 7 };
      }

      return res
        .cookie(
          "access_token",
          // 调用generateAuthToken生成JWT
          generateAuthToken(
            user._id,
            user.firstname,
            user.lastName,
            user.email,
            user.isAdmin,
            // 确保这里传入的是从请求体获取的doNotLogout，而不是user对象上的属性
            doNotLogout
          ),
          cookieParams
        )
        .status(200)
        .json({
          _id: user._id,
          name: user.firstname,
          lastName: user.lastName,
          email: user.email,
          isAdmin: user.isAdmin,
          doNotLogout,
        });
    } else {
      res.status(401).json({ error: "Wrong Credentials" });
    }
  } catch (err) {
    next(err);
  }
};

重要提示： 在loginUser函数中调用generateAuthToken时，传递doNotLogout参数时应使用从req.body获取的值，即doNotLogout，而不是user.doNotLogout，以确保用户请求的过期行为被正确应用。原始代码中此处可能存在一个潜在的逻辑错误。

2. 常见问题：JWT过期时间未按预期生效

开发者在使用上述代码时，可能会遇到一个困惑：即使doNotLogout设置为true，期望令牌有效期为7天，但实际上令牌似乎在7小时后就失效了。这通常导致认证失败，即使Cookie仍然存在于浏览器中。

当确认expiresIn变量的值（例如"7d"）在generateAuthToken函数内部是正确设置的，但问题依然存在时，我们需要将注意力转向JWT本身的结构和验证。

3. JWT过期时间验证方法

jsonwebtoken库在内部会根据expiresIn选项计算出一个Unix时间戳，并将其作为exp（expiration time）声明添加到JWT的负载（payload）中。当验证JWT时，库会检查当前的Unix时间戳是否超过了exp的值。

解决“过期时间不生效”问题的关键在于直接检查生成的JWT负载中的exp声明。

艺映AI

艺映AI - 免费AI视频创作工具

下载

3.1 使用在线工具验证JWT

最直接和推荐的方法是使用在线JWT调试工具，例如 jwt.io。

验证步骤：

1. 获取生成的JWT令牌：
   • 在您的应用程序中，当generateAuthToken函数返回令牌后，将其打印到控制台，或者通过浏览器开发者工具从HTTP响应的Cookie中复制access_token的值。
2. 访问jwt.io：
   • 打开浏览器并导航到 https://www.php.cn/link/1423086f22201fb95fd0ebffca8855f3。
3. 粘贴令牌：
   • 将复制的JWT令牌粘贴到jwt.io页面左侧的“Encoded”文本区域。
4. 检查负载（Payload）：
   • jwt.io会自动解码令牌，并在中间的“Payload”部分显示其内容。查找名为exp的声明。
   • exp的值是一个Unix时间戳（自1970年1月1日00:00:00 UTC以来经过的秒数）。jwt.io通常会将其转换为可读的日期和时间格式，方便您验证。

示例分析：

如果doNotLogout为true，且expiresIn被设置为"7d"，那么exp的值应该表示当前时间加上7天后的Unix时间戳。如果exp显示的是当前时间加上7小时后的时间，那么问题可能出在generateAuthToken函数中expiresIn变量的实际值，或者jsonwebtoken库的版本兼容性问题（尽管这不太常见）。

通过这种方式，您可以直观地确认JWT内部存储的过期时间是否与您的预期一致。如果exp值正确，那么问题可能不在JWT本身，而是在于您的应用程序如何处理或验证这个令牌。

3.2 区分JWT过期与Cookie maxAge

在上述loginUser函数中，我们不仅设置了JWT的过期时间，还为存储JWT的Cookie设置了maxAge。理解这两者的区别至关重要：

• JWT exp (expiration time): 这是JWT内部的一个声明，由签发者定义，表示令牌何时失效。服务器在收到令牌后，会验证这个exp声明。即使Cookie仍然存在，如果JWT已过期，服务器也会拒绝该令牌。
• Cookie maxAge / Expires: 这是HTTP Cookie的一个属性，由浏览器管理。它指示浏览器何时删除该Cookie。

如果Cookie的maxAge设置得比JWT的exp短，那么在JWT过期之前，Cookie就可能已经被浏览器删除了，导致用户会话提前结束。反之，如果Cookie的maxAge设置得比JWT的exp长，那么即使Cookie仍然存在，但由于JWT已经过期，用户也无法通过认证。

在示例代码中，当doNotLogout为true时，cookieParams.maxAge被设置为1000 * 60 * 60 * 24 * 7，这与JWT的"7d"过期时间是匹配的。确保这两者逻辑上保持一致是最佳实践。

4. 总结与注意事项

1. 验证exp声明是关键： 当遇到JWT过期时间不符合预期的问题时，第一步且最重要的一步是使用jwt.io等工具检查生成的JWT的exp负载声明。这能帮助您快速定位问题是出在令牌生成环节，还是令牌消费/验证环节。
2. jsonwebtoken库的可靠性： jsonwebtoken库对于expiresIn参数的处理通常是可靠的。如果exp值不正确，首先检查generateAuthToken函数中expiresIn变量的实际值是否正确传递。
3. doNotLogout参数的传递： 确保在调用generateAuthToken时，doNotLogout参数的值是用户期望的（例如从请求体中获取），而不是意外地使用了默认值或错误的值。
4. 版本兼容性： 虽然不常见，但如果所有其他检查都无法解决问题，可以考虑检查jsonwebtoken库和Node.js的版本，并查阅其官方文档是否有已知问题或更新。
5. 服务端与客户端过期处理： 明确区分JWT的exp（服务端验证）和Cookie的maxAge（客户端/浏览器管理）。两者应协同工作，以提供一致的用户体验。

通过遵循这些步骤和注意事项，您将能够有效地诊断并解决Node.js应用程序中JWT过期时间设置不生效的问题。