使用 JWT 令牌通过 AdonisJS 注销

Logout with AdonisJS using JWT token

我有一个运行良好的登录方法,可以为用户生成 JWT 令牌,以便在 AdonisJS 上进行身份验证。但是,如果用户单击 "Logout" 按钮,或者即使我想自己手动阻止它,我将来如何阻止此令牌?

我知道我可以从客户端删除它,但问题是该令牌仍将处于活动状态(如果其他人以某种方式窃取该令牌,他们仍然可以访问 API ,例如)。

知道如何解决这个问题吗?谢谢

您应该在 AdonisJs

中使用撤销令牌

jwt 和 api 方案公开了使用 auth 接口撤销令牌的方法。

For jwt, refresh tokens are only revoked, since actual tokens are never saved in the database

revokeTokens(tokens, delete = false)

以下方法将通过在令牌中设置标志来撤销令牌table:

const refreshToken = '' // get it from user

await auth
  .authenticator('jwt')
  .revokeTokens([refreshToken])

如果 true 作为第二个参数传递,而不是设置 is_revoked 数据库标志,相关行将从数据库中删除:

const refreshToken = '' // get it from user

await auth
  .authenticator('jwt')
  .revokeTokens([refreshToken], true)

要撤销所有令牌,请调用不带任何参数的 revokeTokens:

await auth
  .authenticator('jwt')
  .revokeTokens()

当撤销当前登录用户的 api 令牌时,您可以访问请求中的值 header:

// for currently loggedin user
const apiToken = auth.getAuthHeader()

await auth
  .authenticator('api')
  .revokeTokens([apiToken])
revokeTokensForUser(user, tokens, delete = false)

此方法与 revokeTokens 方法的工作原理相同,但您可以自己指定用户:

const user = await User.find(1)

await auth
  .authenticator('jwt')
  .revokeTokensForUser(user)