使用 jwt 结构重置密码

Question

我正在尝试编写身份验证应用程序的密码重置部分。我选择使用 JWT、node.js 和 express，我使用以下逻辑：首先，用户输入他们的电子邮件，然后生成一个令牌并通过密码重置链接发送到用户的邮件。其次，当用户按下链接时，会设置一个功能来检查令牌是否正确以及它是否仍然有效，第三，我有一个功能可以将新密码保存到数据库中。

我不确定的是应该检查令牌的第二步。一些教程说您应该将令牌保存到数据库中，然后将链接中的令牌与数据库中的令牌进行比较。但是，使用 JWT 不将任何内容保存到数据库中作为参考难道不是重点吗？我不应该只使用 jwt.verify 来获取保存在令牌中的信息，然后检查数据库中的用户以及它是否仍然处于活动状态？

这是使用 JWT 的正确方法吗？或者你会推荐我使用 session 而不是 JWT？

Answer 1

this answer 有一个很好的建议。您可以使用当前存储的密码值的一些哈希值作为密码重置 JWT 的一部分。

因此有效载荷可能包含{ sub: user_id, exp: "now + 10 minutes", purpose: "password_reset", key: hash(hashed_password_from_db).substr(0, 6) }。此令牌只能成功使用一次。

Answer 2

在使用 JWT 实现密码重置时存在一个简单的缺陷。 从您当前的实现中，用户可以多次生成重置密码链接。因此，用户可以在给定时间内拥有许多活动的重置令牌。

是的，可以采用 JWT 无状态，但在这种情况下效率不高，因为即使在用户重置密码后，您也可以拥有多个可用于重置密码的令牌（取决于你的方法）。

我在一个测试和安全性至关重要的组织工作。不允许您的实施。 规则是一次只能激活一个重置密码链接。

所以 JWT 令牌对我们来说不是最佳选择。

所以我要做的是生成一个保存在数据库中的随机令牌（也与当前时间一起）。该令牌用于识别用户，时间用于验证用户是否在给定时间内重置。

当令牌处于活动状态时，如果用户决定再次生成令牌，则在生成新令牌之前，前一个令牌将处于非活动状态。

这种方法的优点是您一次只能拥有一个活动令牌。

最后，如果您不介意用户一次拥有多个活动令牌/链接，则应使用 JWT。