2

我继承了一个 Symfony 项目,它使用这个控制器来验证用户:

class TokenController extends FOSRestController
{
    public function postTokensAction(Request $request)
    {
        $username = $request->request->get('username');
        $password = $request->request->get('password');

        $user = $this->get('fos_user.user_manager')
                     ->findUserByUsername($username);

        if (!$user) {
            throw $this->createNotFoundException();
        }

        $passwordEncoder = $this->get('security.password_encoder');
        if(!$passwordEncoder->isPasswordValid($user, $password)) {
            throw $this->createAccessDeniedException();
        }

        $groups = ['foo', 'bar'];
        $context = SerializationContext::create()
                       ->setGroups($groups);

        $token = $this->get('lexik_jwt_authentication.encoder')
                      ->encode(['username' => $user->getUsername()]);

        $user = $this->get('jms_serializer')
                     ->toArray($user, $context);

        return new JsonResponse([
            'token' => $token,
            'user' => $user
        ]);
    }
}

客户请求更新:令牌应在登录后 10 秒过期。所以,按照文档,我添加了这个监听器。

<?php

namespace AppBundle\EventListener;

use Lexik\Bundle\JWTAuthenticationBundle\Event\JWTCreatedEvent;

class JWTCreatedListener
{
    public function onJWTCreated(JWTCreatedEvent $event)
    {
        $expiration = new \DateTime('now');
        $expiration->add(new \DateInterval('PT10S'));
        $payload = $event->getData();
        $payload['exp'] = $expiration->getTimestamp();
        $event->setData($payload);
    }
}

而且,当然,我已经标记了监听器来观察事件

acme_api.event.jwt_created_listener:
    class: AppBundle\EventListener\JWTCreatedListener
    tags:
        - { name: kernel.event_listener, event: lexik_jwt_authentication.on_jwt_created, method: onJWTCreated }

如果我通过 Postman 获得令牌并使用它来发出以下请求,我可以在几天和几天内发出这些请求。令牌永不过期。我的 JWTCreatedListener 似乎不起作用。

怎么了?

4

2 回答 2

1

关键在这里:

$token = $this->get('lexik_jwt_authentication.encoder')
              ->encode(['username' => $user->getUsername()]);

我需要添加另一个参数来编码函数:

$token = $this->get('lexik_jwt_authentication.encoder')
              ->encode([
                  'username' => $user->getUsername(),
                  'exp'      => (new \DateTime('+30 minute'))->getTimestamp(),
              ]);
于 2017-09-03T15:29:19.020 回答
1

它们永不过期,因为您使用的是 JWT 编码器的低级 API。如您所见(因为您调用它),encode()获取有效负载。为了获得令牌过期,有效负载必须包含exp以过期时间戳为值的声明。
这由服务处理,该lexik_jwt_authentication.jwt_manager服务使用lexik_jwt_authentication.encoder.token_ttl配置选项的值来确定到期日期。设置它并$this->get('lexik_jwt_authentication.jwt_manager')->create($user)用于创建令牌,然后$this->get('lexik_jwt_authentication.jwt_manager')->decode($token)在时间解码/验证它。

请注意,为了正确使用此捆绑包(允许挂钩它提供的所有事件),您应该考虑使用正确的安全配置(如自述文件中所示)而不是在控制器中手动执行此操作。

于 2017-09-03T13:59:57.120 回答