使用 JWT 令牌通过 AdonisJS 注销
Logout with AdonisJS using JWT token
我有一个运行良好的登录方法,可以为用户生成 JWT 令牌,以便在 AdonisJS 上进行身份验证。但是,如果用户单击 "Logout" 按钮,或者即使我想自己手动阻止它,我将来如何阻止此令牌?
我知道我可以从客户端删除它,但问题是该令牌仍将处于活动状态(如果其他人以某种方式窃取该令牌,他们仍然可以访问 API ,例如)。
知道如何解决这个问题吗?谢谢
您应该在 AdonisJs
中使用撤销令牌
jwt 和 api 方案公开了使用 auth 接口撤销令牌的方法。
For jwt, refresh tokens are only revoked, since actual tokens are
never saved in the database
revokeTokens(tokens, delete = false)
以下方法将通过在令牌中设置标志来撤销令牌table:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken])
如果 true 作为第二个参数传递,而不是设置 is_revoked 数据库标志,相关行将从数据库中删除:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken], true)
要撤销所有令牌,请调用不带任何参数的 revokeTokens:
await auth
.authenticator('jwt')
.revokeTokens()
当撤销当前登录用户的 api 令牌时,您可以访问请求中的值 header:
// for currently loggedin user
const apiToken = auth.getAuthHeader()
await auth
.authenticator('api')
.revokeTokens([apiToken])
revokeTokensForUser(user, tokens, delete = false)
此方法与 revokeTokens 方法的工作原理相同,但您可以自己指定用户:
const user = await User.find(1)
await auth
.authenticator('jwt')
.revokeTokensForUser(user)
我有一个运行良好的登录方法,可以为用户生成 JWT 令牌,以便在 AdonisJS 上进行身份验证。但是,如果用户单击 "Logout" 按钮,或者即使我想自己手动阻止它,我将来如何阻止此令牌?
我知道我可以从客户端删除它,但问题是该令牌仍将处于活动状态(如果其他人以某种方式窃取该令牌,他们仍然可以访问 API ,例如)。
知道如何解决这个问题吗?谢谢
您应该在 AdonisJs
jwt 和 api 方案公开了使用 auth 接口撤销令牌的方法。
For jwt, refresh tokens are only revoked, since actual tokens are never saved in the database
revokeTokens(tokens, delete = false)
以下方法将通过在令牌中设置标志来撤销令牌table:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken])
如果 true 作为第二个参数传递,而不是设置 is_revoked 数据库标志,相关行将从数据库中删除:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken], true)
要撤销所有令牌,请调用不带任何参数的 revokeTokens:
await auth
.authenticator('jwt')
.revokeTokens()
当撤销当前登录用户的 api 令牌时,您可以访问请求中的值 header:
// for currently loggedin user
const apiToken = auth.getAuthHeader()
await auth
.authenticator('api')
.revokeTokens([apiToken])
revokeTokensForUser(user, tokens, delete = false)
此方法与 revokeTokens 方法的工作原理相同,但您可以自己指定用户:
const user = await User.find(1)
await auth
.authenticator('jwt')
.revokeTokensForUser(user)