0

目前我在我的 Laravel 后端使用 JWT-Auth 来使用令牌保护我的 API 路由。但是,在一段时间后令牌变得无效并且我收到错误消息401 Unauthorized。所以我想我必须在某处刷新令牌。什么时候做这件事最好?每次您提出请求时,我都会阅读有关这样做的信息,但我想确保这是正确的方法。我从他们的文档中使用了本指南:https ://jwt-auth.readthedocs.io/en/develop/quick-start/#create-the-authcontroller 。在这里,他们创建了一个新令牌的功能。但是每次我提出请求时我将如何实现呢?我只是在控制器中通过Axios请求调用此函数还是在另一个控制器中调用它或其他什么?非常感谢任何提示。

顺便说一句,我有一个 Vue.js 前端。

4

1 回答 1

1

使用 Tymon/JWTAuth,您有两种选择:

  • 您可以将jwt.refresh中间件添加到您的 api 路由中,这将在每次发出请求时刷新令牌。该解决方案的缺点是可能会被滥用。好处是您实际上不需要担心应用程序中的令牌,特别是如果您没有前端或不自己开发前端。
  • 您解析令牌客户端。jwt 令牌的前两部分是完全公开的,并且是 base64 编码的。您实际上不需要知道此令牌是否由服务器客户端签名,因此您可以放心地忽略最后一部分。如果您有一个围绕 api 调用的包装器来处理 api 调用的通用逻辑(例如,添加授权标头开始),则此解决方案相对容易。

const token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOjEsImlzcyI6Imh0dHBzOi8vZXhhbXBsZS5jb20iLCJpYXQiOjE1NTUzNDkxMjYsImV4cCI6MTU1NTM3NzkyNiwibmJmIjoxNTU1MzQ5MTI2LCJqdGkiOiJtZEdTNGE2ZDJnNHM5NzRnNSJ9.TygbG5smlhAapE8fy4rgXlLVYW-qOcWtLYnnbgJCIKg";

function shouldRefreshToken(token) {
  const currentTime = 1555350309829; // Date.now()
  const universalTimestamp = currentTime / 1000;
  
  const gracePeriod = 60 * 60 * 8; // 8 hours

  const tokenParts = token.split('.');
  const payload = JSON.parse(atob(tokenParts[1]));
  
  if (payload.iat > universalTimestamp) {
    console.log("This monstrosity was issued in the future O_o");
  }
  
  if (payload.nbf > universalTimestamp) {
    console.log("This token is not valid yet. Refreshing it does not yield anything useful. Maybe we still have some previous token?");
  }
  
  if (payload.exp < universalTimestamp) {
    console.log("This token has expired. We should try to refresh it before doing anything else.");
  } else if (payload.exp - gracePeriod < universalTimestamp) {
    console.log("This token is about to expire. We can refresh it asynchronously.");
  } else {
    console.log("Nah, we are fine!");
  }
}

shouldRefreshToken(token);

最后,您希望将请求发送到执行类似操作的刷新端点,然后由前端解析:

$myNewToken = JWTAuth::refresh(JWTAuth::getToken());
response()->header('Authorization', "Bearer {$myNewToken}");

为了让它工作,你可以做这样的事情:

import store from '../store';
import { shouldRefreshToken } from '../helpers/auth';

const someBaseUrl = 'https://example.com';

export function request(options = {}) {
  // Hopefully you rewrite that function above to return a boolean ;-)
  if (shouldRefreshToken(store.state.auth.token)) {
    refreshToken();
  }

  const config = {
    method: options.method,
    url: `${someBaseUrl}/${options.resource}`,
    credentials: 'include',
    headers: {
      ...(options.headers || {}),
      Authorization: `Bearer ${store.state.auth.token}`,
      'Content-Type': 'application/json'
    },
    data: options.data
  }

  return axios(config).then(parseResponse)
}

function parseResponse(axiosResponse) {
  // Probably want to get the token and do something with it
}

function refreshToken() {
  axios({
    method: 'POST',
    url: `${someBaseUrl}/refresh`
  }).then(parseResponse)
}
于 2019-04-15T18:08:53.843 回答