Strapi中JWT过期时间配置问题解析

在使用Strapi 5.9.0版本时，开发者可能会遇到JWT(JSON Web Token)过期时间配置不生效的问题。本文将深入分析这一问题的原因及解决方案。

问题现象

当开发者按照官方文档配置JWT过期时间为1小时后，实际生成的JWT令牌却显示30天的有效期。通过解码JWT负载部分，可以看到exp字段的值与预期不符。

原因分析

Strapi系统中存在两种不同类型的JWT令牌：

1. 管理员面板JWT：用于后台管理系统的身份验证
2. API用户JWT：用于前端应用访问API时的身份验证

这两种JWT的配置是分开的，使用不同的配置文件。开发者最初只修改了API用户JWT的配置(config/plugins.js)，而没有修改管理员面板JWT的配置。

解决方案

要正确配置管理员面板的JWT过期时间，需要在config/admin.js文件中添加以下配置：

module.exports = ({ env }) => ({
  auth: {
    secret: env('ADMIN_JWT_SECRET'),
    options: {
      expiresIn: '1h' // 设置1小时过期
    }
  }
});

配置验证

配置完成后，可以通过以下步骤验证：

1. 清除浏览器缓存和本地存储
2. 重新登录管理员面板
3. 检查生成的JWT令牌
4. 解码令牌验证exp字段是否符合预期

技术细节

Strapi使用jsonwebtoken库生成JWT令牌。exp字段表示令牌的过期时间，是以Unix时间戳(秒级)表示的。配置中的时间字符串(如'1h')会被转换为对应的秒数并添加到当前时间上。

最佳实践

1. 根据安全需求合理设置JWT过期时间
2. 管理员面板和API用户建议使用不同的过期策略
3. 生产环境建议使用更短的过期时间并配合刷新令牌机制
4. 修改配置后务必重启Strapi服务

通过理解Strapi的JWT机制和正确配置，开发者可以确保系统的安全性和用户体验达到最佳平衡。