Laravel JWT-auth 身份验证的注销问题
Logout issue with Laravel JWT-auth authentication
我正在使用 jwt-auth 在我的 API 中创建一个 RESTful 授权资源。当客户端应用程序调用登录资源时,案例用户已登录,您当前的令牌必须失效,因此会生成一个新令牌。
但是如果当前令牌被列入黑名单,则会抛出 TokenBlacklistedException。
如何验证令牌是否被列入黑名单?或者如何正确实施用户"logout"?我尝试在 jwt-auth API 源上找到但不存在 getToken()->isBlacklisted() 或 parseToken()->isBlacklisted() 或一些验证器来实现它。
如果令牌无效,parseToken() 会抛出 TokenBlacklistedException,因此 isBlacklisted 方法是在使令牌无效之前验证令牌是否有效的好方法。
信息:
下面的代码验证 payload 是否无效,抛出 TokenBlacklistedException 如果无效:
if(
false === \Tymon\JWTAuth\Blacklist::has(
\Tymon\JWTAuth\Facades\JWTAuth::getPayload($token)
)
) {
\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->invalidate();
}
如何验证喜欢:
if(false ===\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->isBlacklisted()) {
// invalidate...
}
您可以在客户端注销时简单地销毁会话,并在后端“使”令牌“无效”(这只是“黑名单”的另一个术语,至少在 JWT 中是这样)。
从技术上讲,在客户端销毁令牌就足够了,但对于会话劫持,在后端使其失效也是一个好主意。
如果您要使无效,则需要在收到 Laravel 的响应后销毁/忘记前端的令牌。
后端
// Maybe set below to `false`,
// else cache may take too much storage.
$forever = true;
// Both loads and blacklists
// (the token, if it's set, else may raise exception).
JWTAuth::parseToken()->invalidate( $forever );
或
JWTAuth::getToken(); // Ensures token is already loaded.
JWTAuth::invalidate($forever);
或
$token = \JWTAuth::parseToken();
\JWTAuth::manager()->invalidate(
new \Tymon\JWTAuth\Token($token->token),
$forever
);
Note that Laravel's cache-driver should not be array, as blacklist is stored as cache.
See whosebug.com/
前端
然后在angular这边:
function logout()
{
UserService.logout().$promise.then(function() {
$cookieStore.remove('userToken');
// redirect or whatever
});
}
处理 JWT 异常 (后端)
处理 JWT 异常的一种方法是在 laravel 中设置一个 EventServiceProvider,这是我的样子:
use Illuminate\Contracts\Events\Dispatcher as DispatcherContract;
use Illuminate\Foundation\Support\Providers\EventServiceProvider as ServiceProvider;
class EventServiceProvider extends ServiceProvider {
/**
* The event handler mappings for the application.
*
* @var array
*/
protected $listen = [
'tymon.jwt.valid' => [
'App\Events\JWTEvents@valid',
],
'tymon.jwt.user_not_found' => [
'App\Events\JWTEvents@notFound'
],
'tymon.jwt.invalid' => [
'App\Events\JWTEvents@invalid'
],
'tymon.jwt.expired' => [
'App\Events\JWTEvents@expired'
],
'tymon.jwt.absent' => [
'App\Events\JWTEvents@missing'
]
];
/**
* Register any other events for your application.
*
* @param \Illuminate\Contracts\Events\Dispatcher $events
* @return void
*/
public function boot(DispatcherContract $events)
{
parent::boot($events);
//
}
}
您将在 app.php 中注册它。
然后我用每个事件的方法实现 JWTEvents class。
class JWTEvents extends Event {
// Other methods
public function invalid()
{
return response()->json(['error' => 'Token Invalid'], 401);
die();
}
}
需要注意的重要一点是我们正在捕获 JWT 异常并返回具有特定状态代码的 json 响应。
在 angular 方面,我在我的 httpInterceptor class 中捕获了这些 http 状态代码。
angular.module('ngApp')
.factory('httpInterceptor', function($q, $log, $cookieStore, $rootScope, Response) {
return {
request: function(config) {
// Where you add the token to each request
},
responseError: function(response) {
// Check if response code is 401 (or whatever)
if (response.status === 401) {
// Do something to log user out & redirect.
$rootScope.$broadcast('invalid.token');
}
}
}
});
据我了解,没有人强调的一件事是用于刷新令牌的 'jwt.refresh'(又名 RefreshTokenMiddleware)。
现在,如果任何人想要执行注销操作,请将控制器方法包装在像
这样的路由中
Route::group(['middleware' => ['jwt.auth', 'jwt.refresh']], function()...
肯定会在注销响应中获得一个新令牌,因此客户端将能够执行新请求。
希望这可以帮助澄清这个问题。
这对我有用。
public function logout( Request $request ) {
// No need to get token, as "parseToken()" does that itself.
//$token = $request->header( 'Authorization' );
try {
// Adds token to blacklist.
$forever = true;
JWTAuth::parseToken()->invalidate( $forever );
return response()->json( [
'error' => false,
'message' => trans( 'auth.logged_out' )
] );
} catch ( TokenExpiredException $exception ) {
return response()->json( [
'error' => true,
'message' => trans( 'auth.token.expired' )
], 401 );
} catch ( TokenInvalidException $exception ) {
return response()->json( [
'error' => true,
'message' => trans( 'auth.token.invalid' )
], 401 );
} catch ( JWTException $exception ) {
return response()->json( [
'error' => true,
'message' => trans( 'auth.token.missing' )
], 500 );
}
}
我正在使用 jwt-auth 在我的 API 中创建一个 RESTful 授权资源。当客户端应用程序调用登录资源时,案例用户已登录,您当前的令牌必须失效,因此会生成一个新令牌。
但是如果当前令牌被列入黑名单,则会抛出 TokenBlacklistedException。
如何验证令牌是否被列入黑名单?或者如何正确实施用户"logout"?我尝试在 jwt-auth API 源上找到但不存在 getToken()->isBlacklisted() 或 parseToken()->isBlacklisted() 或一些验证器来实现它。
如果令牌无效,parseToken() 会抛出 TokenBlacklistedException,因此 isBlacklisted 方法是在使令牌无效之前验证令牌是否有效的好方法。
信息:
下面的代码验证 payload 是否无效,抛出 TokenBlacklistedException 如果无效:
if(
false === \Tymon\JWTAuth\Blacklist::has(
\Tymon\JWTAuth\Facades\JWTAuth::getPayload($token)
)
) {
\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->invalidate();
}
如何验证喜欢:
if(false ===\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->isBlacklisted()) {
// invalidate...
}
您可以在客户端注销时简单地销毁会话,并在后端“使”令牌“无效”(这只是“黑名单”的另一个术语,至少在 JWT 中是这样)。
从技术上讲,在客户端销毁令牌就足够了,但对于会话劫持,在后端使其失效也是一个好主意。
如果您要使无效,则需要在收到 Laravel 的响应后销毁/忘记前端的令牌。
后端
// Maybe set below to `false`,
// else cache may take too much storage.
$forever = true;
// Both loads and blacklists
// (the token, if it's set, else may raise exception).
JWTAuth::parseToken()->invalidate( $forever );
或
JWTAuth::getToken(); // Ensures token is already loaded.
JWTAuth::invalidate($forever);
或
$token = \JWTAuth::parseToken();
\JWTAuth::manager()->invalidate(
new \Tymon\JWTAuth\Token($token->token),
$forever
);
Note that Laravel's cache-driver should not be
array, as blacklist is stored as cache.See whosebug.com/
前端
然后在angular这边:
function logout()
{
UserService.logout().$promise.then(function() {
$cookieStore.remove('userToken');
// redirect or whatever
});
}
处理 JWT 异常 (后端)
处理 JWT 异常的一种方法是在 laravel 中设置一个 EventServiceProvider,这是我的样子:
use Illuminate\Contracts\Events\Dispatcher as DispatcherContract;
use Illuminate\Foundation\Support\Providers\EventServiceProvider as ServiceProvider;
class EventServiceProvider extends ServiceProvider {
/**
* The event handler mappings for the application.
*
* @var array
*/
protected $listen = [
'tymon.jwt.valid' => [
'App\Events\JWTEvents@valid',
],
'tymon.jwt.user_not_found' => [
'App\Events\JWTEvents@notFound'
],
'tymon.jwt.invalid' => [
'App\Events\JWTEvents@invalid'
],
'tymon.jwt.expired' => [
'App\Events\JWTEvents@expired'
],
'tymon.jwt.absent' => [
'App\Events\JWTEvents@missing'
]
];
/**
* Register any other events for your application.
*
* @param \Illuminate\Contracts\Events\Dispatcher $events
* @return void
*/
public function boot(DispatcherContract $events)
{
parent::boot($events);
//
}
}
您将在 app.php 中注册它。
然后我用每个事件的方法实现 JWTEvents class。
class JWTEvents extends Event {
// Other methods
public function invalid()
{
return response()->json(['error' => 'Token Invalid'], 401);
die();
}
}
需要注意的重要一点是我们正在捕获 JWT 异常并返回具有特定状态代码的 json 响应。
在 angular 方面,我在我的 httpInterceptor class 中捕获了这些 http 状态代码。
angular.module('ngApp')
.factory('httpInterceptor', function($q, $log, $cookieStore, $rootScope, Response) {
return {
request: function(config) {
// Where you add the token to each request
},
responseError: function(response) {
// Check if response code is 401 (or whatever)
if (response.status === 401) {
// Do something to log user out & redirect.
$rootScope.$broadcast('invalid.token');
}
}
}
});
据我了解,没有人强调的一件事是用于刷新令牌的 'jwt.refresh'(又名 RefreshTokenMiddleware)。
现在,如果任何人想要执行注销操作,请将控制器方法包装在像
这样的路由中Route::group(['middleware' => ['jwt.auth', 'jwt.refresh']], function()...
肯定会在注销响应中获得一个新令牌,因此客户端将能够执行新请求。
希望这可以帮助澄清这个问题。
这对我有用。
public function logout( Request $request ) {
// No need to get token, as "parseToken()" does that itself.
//$token = $request->header( 'Authorization' );
try {
// Adds token to blacklist.
$forever = true;
JWTAuth::parseToken()->invalidate( $forever );
return response()->json( [
'error' => false,
'message' => trans( 'auth.logged_out' )
] );
} catch ( TokenExpiredException $exception ) {
return response()->json( [
'error' => true,
'message' => trans( 'auth.token.expired' )
], 401 );
} catch ( TokenInvalidException $exception ) {
return response()->json( [
'error' => true,
'message' => trans( 'auth.token.invalid' )
], 401 );
} catch ( JWTException $exception ) {
return response()->json( [
'error' => true,
'message' => trans( 'auth.token.missing' )
], 500 );
}
}