我正在一个angular/lavel应用程序中实现JWT身份验证,并且我在令牌刷新方面遇到了问题。
这里的相关代码:
PHP:为tymon.jwt.过期事件"侦听"的laravel jwt侦听器:
/**
* Fired when the token has expired
* @param 'Exception $e
* @return 'Illuminate'Http'JsonResponse
*/
public function expired($e)
{
$token = 'JWTAuth::parseToken();
Config::package('tymon/jwt-auth', 'jwt');
$ttl = Config::get('jwt::refresh_ttl');
$iat = Carbon::createFromTimestamp($token->getPayload()->get('iat'));
$now = Carbon::now();
// if renew ttl is expired too, return 401, otherwise let
// the application generate a new token to frontend
if ($iat->diffInMinutes($now) >= $ttl) {
unset($iat, $now, $ttl);
return response_failure(
Lang::get('errors.api.auth.expired'),
Config::get('status.error.unauthorized')
);
}
unset($iat, $now, $ttl);
}
PHP:"after"过滤器:
/*
|--------------------------------------------------------------------------
| JWT-Auth token-refresh Filter
|--------------------------------------------------------------------------
|
| The RefreshToken filter update the response headers by returning an
| updated authentication token.
|
*/
Route::filter('RefreshToken', function($route, $request, $response)
{
$token = JWTAuth::parseToken();
try {
$token->toUser();
} catch (TokenExpiredException $e) {
Config::package('tymon/jwt-auth', 'jwt');
$ttl = Config::get('jwt::refresh_ttl');
$iat = 'Carbon'Carbon::createFromTimestamp($token->getPayload()->get('iat'));
$now = 'Carbon'Carbon::now();
if ($iat->diffInMinutes($now) < $ttl) {
$response->headers->set('Authorization', 'Bearer ' . $token->refresh());
}
}
});
PHP:经过身份验证的路由过滤器:
Route::group(['before' => 'jwt-auth', 'after' => 'RefreshToken'], function () { ... });
JS:更新本地存储的拦截器
'use strict';
angular.module('App')
.factory('ResponseInterceptor', ['SessionService', 'jwtHelper', '$location', '$q',
function (SessionService, jwtHelper, $location, $q) {
return {
response: response
};
// called for http codes up to 300
function response(response) {
var token = response.headers('Authorization');
if ('undefined' !== typeof token && null !== token) {
SessionService.setToken(token.split(' ')[1]);
}
return response;
}
}]);
除了一个问题(工作流程)之外,这项工作效果很好:
- 令牌过期,但仍可续订
- angular向服务器发送带有过期令牌的http请求
- laravel捕获请求并使用新令牌更新响应标头
- laravel将上一个令牌列入黑名单
问题是,如果在"续订"延迟期间从angular发送任何请求,则服务器将拒绝所有这些请求,因为令牌无效(列入黑名单)。
我做错了吗?有人能给我指正确的方向吗?
我想实现的是将令牌的ttl设置为大约5分钟,并允许用户在导航时续订令牌。
这确实是库的一个错误,现在已经更正,请阅读此处了解更多信息
也许您正在使用异步请求?然后,您不确定是否发送了最新的令牌。
在这种情况下,不应该在每次请求后都使用刷新方法。
我也遇到了同样的问题。刷新令牌时,最后一个令牌将被列入黑名单。但是,如果在最后一个响应之前启动了另一个异步调用,则需要此令牌。因此,解决方案可以延迟将最后一个代币列入黑名单。您可以通过在jwt.php
配置文件中设置JWT_BLACKLIST_GRACE_PERIOD
来完成此操作。♥♥♥