我们可以使用 JWT 进行 Session 管理吗？

Question

在我自己的应用程序中引入 JWT 之后。我面临一些问题，可能是我做错了。请建议我最好的实施方式。

技术栈：(MERN) MongoDB Expressjs React 节点。

成功登录后，我正在创建一个新的 JWT 令牌，方法是在其中添加“user-id”并返回 UI 层。在 UI 端，我将该令牌存储在会话存储中。我将这个令牌用于对服务器的所有进一步请求。在进入控制器之前，我正在使用 JWT 验证检查中间件中的 Token 以进行验证。如果验证成功，则 next() 否则返回带有无效令牌的错误。

问题发生在现在：

1. 向 USER 1 注册
2. 使用 USER 1 登录
3. 成功登录后，从会话存储中复制令牌。
4. 然后退出 USER 1
5. 向 USER 2 注册
6. 使用 USER 2 登录
7. 将 USER 1 的会话存储令牌粘贴到 USER 2
8. 在再次刷新页面 USER 1 仪表板而不是 USER 2 后。

以下两点的任何帮助或建议：

• 我应该如何通过 JWT 管理用户会话？
• 我应该如何管理 JWT 的 API 身份验证？

Answer 1

您不应该在浏览器会话中存储令牌，或者至少在注销时将其删除。令牌包含有关用户的所有信息以及验证令牌有效性的签名。如果您复制并存储它，它仍然有效。注销用户不会使令牌失效。

您应该为令牌添加一个过期时间以使其仅在短时间内有效，但您需要在它失效之前每隔一段时间刷新它。执行此操作的正常方法是使用刷新令牌，该令牌具有更长的间隔并阻止用户一次又一次地登录。

当用户注销时，您应该停止从刷新令牌重新颁发访问令牌。

有关 JWT 的更多信息，请参阅 https://jwt.io/introduction/。