我正在使用JWT保护节点js urls https://github.com/auth0/express-jwt
要创建JWT令牌用户会话,我只需:
-> auth/signup
-> jwt.sign(user_profile,secret,expireInMinutes:{900000000 /*almost never expires*/});
或者在登录电话的情况下
-> auth/login
-> jwt.sign(user_profile,secret,expireInMinutes:{900000000 /*almost never expires*/});
每次调用受保护的URL时,我都会检查是否req.user由JWT中间件自动设置.
现在我想知道:
1 - 调用sign()时JWT令牌存储在哪里?
2 - 每次调用受保护的URL时,我是否必须验证()令牌?如果是,为什么?
3 - 当我为已经签名的用户设置新令牌时,旧令牌(如果存在)会被删除吗?如果未设置到期或例如5年后该怎么办?
4 - 为什么我不能在同一浏览器/应用页面上设置新令牌?如果我注册一个新令牌但令牌匹配(我已检查),我会收到无效的签名错误这就像我不能在同一个浏览器上签署多个用户