laravel / angularjs JWT 令牌刷新
laravel / angularjs JWT token refresh
我正在 angular/laravel 应用程序中实施 JWT 身份验证,但我遇到令牌刷新问题。
这里是相关代码:
PHP:'listen' 为 tymon.jwt.expired 事件的 laravel-jwt 侦听器:
/**
* Fired when the token has expired
* @param \Exception $e
* @return \Illuminate\Http\JsonResponse
*/
public function expired($e)
{
$token = \JWTAuth::parseToken();
Config::package('tymon/jwt-auth', 'jwt');
$ttl = Config::get('jwt::refresh_ttl');
$iat = Carbon::createFromTimestamp($token->getPayload()->get('iat'));
$now = Carbon::now();
// if renew ttl is expired too, return 401, otherwise let
// the application generate a new token to frontend
if ($iat->diffInMinutes($now) >= $ttl) {
unset($iat, $now, $ttl);
return response_failure(
Lang::get('errors.api.auth.expired'),
Config::get('status.error.unauthorized')
);
}
unset($iat, $now, $ttl);
}
PHP:'after' 过滤器:
/*
|--------------------------------------------------------------------------
| JWT-Auth token-refresh Filter
|--------------------------------------------------------------------------
|
| The RefreshToken filter update the response headers by returning an
| updated authentication token.
|
*/
Route::filter('RefreshToken', function($route, $request, $response)
{
$token = JWTAuth::parseToken();
try {
$token->toUser();
} catch (TokenExpiredException $e) {
Config::package('tymon/jwt-auth', 'jwt');
$ttl = Config::get('jwt::refresh_ttl');
$iat = \Carbon\Carbon::createFromTimestamp($token->getPayload()->get('iat'));
$now = \Carbon\Carbon::now();
if ($iat->diffInMinutes($now) < $ttl) {
$response->headers->set('Authorization', 'Bearer ' . $token->refresh());
}
}
});
PHP:经过身份验证的路由过滤器:
Route::group(['before' => 'jwt-auth', 'after' => 'RefreshToken'], function () { ... });
JS:更新localstorage的拦截器
'use strict';
angular.module('App')
.factory('ResponseInterceptor', ['SessionService', 'jwtHelper', '$location', '$q',
function (SessionService, jwtHelper, $location, $q) {
return {
response: response
};
// called for http codes up to 300
function response(response) {
var token = response.headers('Authorization');
if ('undefined' !== typeof token && null !== token) {
SessionService.setToken(token.split(' ')[1]);
}
return response;
}
}]);
除一个问题(工作流程)外,此方法运行良好:
- 令牌过期但仍可续订
- angular 向服务器发送带有过期令牌的 http 请求
- laravel 捕获请求并使用新令牌更新响应 headers
- laravel 将之前的令牌列入黑名单
问题是,如果在 "renewal" 延迟期间从 angular 发送任何请求,所有这些请求都会被服务器拒绝,因为令牌无效(列入黑名单)。
我做错了吗?有人可以指出我正确的方向吗?
我想实现的是将令牌的 ttl 设置为大约 5 分钟,并允许用户在导航时更新令牌。
也许您正在使用异步请求?然后,您不确定是否发送了最新的令牌。
在这种情况下,您不应在每次请求后都使用刷新方法。
这确实是库的一个错误,现已更正,read here获取更多信息
我有同样的问题。刷新令牌时,最后一个令牌将被列入黑名单。
但是,如果在上次响应之前启动了另一个异步调用,则需要此令牌。因此,一个解决方案可以是延迟将最后一个令牌列入黑名单。您可以通过在 jwt.php 配置文件中设置 JWT_BLACKLIST_GRACE_PERIOD 来实现。 ♥♥♥
我正在 angular/laravel 应用程序中实施 JWT 身份验证,但我遇到令牌刷新问题。
这里是相关代码:
PHP:'listen' 为 tymon.jwt.expired 事件的 laravel-jwt 侦听器:
/**
* Fired when the token has expired
* @param \Exception $e
* @return \Illuminate\Http\JsonResponse
*/
public function expired($e)
{
$token = \JWTAuth::parseToken();
Config::package('tymon/jwt-auth', 'jwt');
$ttl = Config::get('jwt::refresh_ttl');
$iat = Carbon::createFromTimestamp($token->getPayload()->get('iat'));
$now = Carbon::now();
// if renew ttl is expired too, return 401, otherwise let
// the application generate a new token to frontend
if ($iat->diffInMinutes($now) >= $ttl) {
unset($iat, $now, $ttl);
return response_failure(
Lang::get('errors.api.auth.expired'),
Config::get('status.error.unauthorized')
);
}
unset($iat, $now, $ttl);
}
PHP:'after' 过滤器:
/*
|--------------------------------------------------------------------------
| JWT-Auth token-refresh Filter
|--------------------------------------------------------------------------
|
| The RefreshToken filter update the response headers by returning an
| updated authentication token.
|
*/
Route::filter('RefreshToken', function($route, $request, $response)
{
$token = JWTAuth::parseToken();
try {
$token->toUser();
} catch (TokenExpiredException $e) {
Config::package('tymon/jwt-auth', 'jwt');
$ttl = Config::get('jwt::refresh_ttl');
$iat = \Carbon\Carbon::createFromTimestamp($token->getPayload()->get('iat'));
$now = \Carbon\Carbon::now();
if ($iat->diffInMinutes($now) < $ttl) {
$response->headers->set('Authorization', 'Bearer ' . $token->refresh());
}
}
});
PHP:经过身份验证的路由过滤器:
Route::group(['before' => 'jwt-auth', 'after' => 'RefreshToken'], function () { ... });
JS:更新localstorage的拦截器
'use strict';
angular.module('App')
.factory('ResponseInterceptor', ['SessionService', 'jwtHelper', '$location', '$q',
function (SessionService, jwtHelper, $location, $q) {
return {
response: response
};
// called for http codes up to 300
function response(response) {
var token = response.headers('Authorization');
if ('undefined' !== typeof token && null !== token) {
SessionService.setToken(token.split(' ')[1]);
}
return response;
}
}]);
除一个问题(工作流程)外,此方法运行良好:
- 令牌过期但仍可续订
- angular 向服务器发送带有过期令牌的 http 请求
- laravel 捕获请求并使用新令牌更新响应 headers
- laravel 将之前的令牌列入黑名单
问题是,如果在 "renewal" 延迟期间从 angular 发送任何请求,所有这些请求都会被服务器拒绝,因为令牌无效(列入黑名单)。
我做错了吗?有人可以指出我正确的方向吗?
我想实现的是将令牌的 ttl 设置为大约 5 分钟,并允许用户在导航时更新令牌。
也许您正在使用异步请求?然后,您不确定是否发送了最新的令牌。
在这种情况下,您不应在每次请求后都使用刷新方法。
这确实是库的一个错误,现已更正,read here获取更多信息
我有同样的问题。刷新令牌时,最后一个令牌将被列入黑名单。
但是,如果在上次响应之前启动了另一个异步调用,则需要此令牌。因此,一个解决方案可以是延迟将最后一个令牌列入黑名单。您可以通过在 jwt.php 配置文件中设置 JWT_BLACKLIST_GRACE_PERIOD 来实现。 ♥♥♥