Lumen中使用JWT-Auth刷新token实现方式
2017-04-19 16:30
691 查看
首先我们应该了解,JWT-Auth中Token是什么?
JWT实现的时候,一般会有两个过期时间
第一个是Token本身的过期时间,这个时间一般1到2个小时,不能太长,也可以在短一点,不过5s的简直纯属扯淡。
第二个是Token过期后,再次刷新的有效期,也就是Token过期后,你还有一段时间可以重新刷新,把过期的Token发给服务端,如果没有过刷新截止期,则服务端返回一个新的Token,不再需要通过用户名密码重新登录获取Token了。
所以为了减少过期后重新获取Token所带来的麻烦,我们一般在每次Http请求成功后,将目前的Token刷新,然后可以在Http响应中返回新的Token。
JWT由于过期数据(exp claim)是封装在Payload中的,所以必须返回一个新Token,而不是在旧Token的基础上刷新。
但是在并发的时候也会出现问题,如果前一个请求刷新了Token(为了安全,刷新后一般会把旧Token加入黑名单),后面的请求使用了一个旧的Token像服务请求数据,这个时候请求会被拒绝。
可以说这真的是JWT的一个缺陷,目前没有特别好的办法来解决并发刷新的问题。
下面说,实现方式
1、你可以写一个中间件
$app->post('auth/refresh-token', ['middleware' => 'jwt.refresh', function() {
try {
$old_token = JWTAuth::getToken();
$token = JWTAuth::refresh($old_token);
JWTAuth::invalidate($old_token);
} catch (TokenExpiredException $e) {
throw new AuthException(
Constants::get('error_code.refresh_token_expired'),
trans('errors.refresh_token_expired'), $e);
} catch (JWTException $e) {
throw new AuthException(
Constants::get('error_code.token_invalid'),
trans('errors.token_invalid'), $e);
}
return response()->json(compact('token'));
}]);
2、你可以写一个方法,用路由调用
/**
* @api {put} /updateToken 刷新token(refresh token)
* @apiDescription 刷新token(refresh token)
* @apiGroup User
*/
public function updateToken()
{
try {
$old_token = JWTAuth::getToken();
$token = JWTAuth::refresh($old_token);
JWTAuth::invalidate($old_token);
$cacheKey = 'token';
Cache::forever($cacheKey,$token);
} catch (TokenExpiredException $e) {
throw new AuthException(
trans('errors.refresh_token_expired'), $e);
} catch (JWTException $e) {
throw new AuthException(
trans('errors.token_invalid'), $e);
}
return response()->json(compact('token'));
}
$api->put('updateToken','UserController@updateToken');
JWT实现的时候,一般会有两个过期时间
第一个是Token本身的过期时间,这个时间一般1到2个小时,不能太长,也可以在短一点,不过5s的简直纯属扯淡。
第二个是Token过期后,再次刷新的有效期,也就是Token过期后,你还有一段时间可以重新刷新,把过期的Token发给服务端,如果没有过刷新截止期,则服务端返回一个新的Token,不再需要通过用户名密码重新登录获取Token了。
所以为了减少过期后重新获取Token所带来的麻烦,我们一般在每次Http请求成功后,将目前的Token刷新,然后可以在Http响应中返回新的Token。
JWT由于过期数据(exp claim)是封装在Payload中的,所以必须返回一个新Token,而不是在旧Token的基础上刷新。
但是在并发的时候也会出现问题,如果前一个请求刷新了Token(为了安全,刷新后一般会把旧Token加入黑名单),后面的请求使用了一个旧的Token像服务请求数据,这个时候请求会被拒绝。
可以说这真的是JWT的一个缺陷,目前没有特别好的办法来解决并发刷新的问题。
下面说,实现方式
1、你可以写一个中间件
$app->post('auth/refresh-token', ['middleware' => 'jwt.refresh', function() {
try {
$old_token = JWTAuth::getToken();
$token = JWTAuth::refresh($old_token);
JWTAuth::invalidate($old_token);
} catch (TokenExpiredException $e) {
throw new AuthException(
Constants::get('error_code.refresh_token_expired'),
trans('errors.refresh_token_expired'), $e);
} catch (JWTException $e) {
throw new AuthException(
Constants::get('error_code.token_invalid'),
trans('errors.token_invalid'), $e);
}
return response()->json(compact('token'));
}]);
2、你可以写一个方法,用路由调用
/**
* @api {put} /updateToken 刷新token(refresh token)
* @apiDescription 刷新token(refresh token)
* @apiGroup User
*/
public function updateToken()
{
try {
$old_token = JWTAuth::getToken();
$token = JWTAuth::refresh($old_token);
JWTAuth::invalidate($old_token);
$cacheKey = 'token';
Cache::forever($cacheKey,$token);
} catch (TokenExpiredException $e) {
throw new AuthException(
trans('errors.refresh_token_expired'), $e);
} catch (JWTException $e) {
throw new AuthException(
trans('errors.token_invalid'), $e);
}
return response()->json(compact('token'));
}
$api->put('updateToken','UserController@updateToken');
相关文章推荐
- Laravel (Lumen) 中使用JWT-Auth刷新token的问题
- Lumen上使用Dingo/Api做API开发时用JWT-Auth做认证的实现
- Lumen上使用Dingo/Api做API开发时用JWT-Auth做认证的实现
- Lumen上使用Dingo/Api做API开发时用JWT-Auth做认证的实现
- python使用json web token (jwt)实现http api的加密传输
- 使用AFNetWorking 实现以Basic Authentication方式获取access-token
- 使用RxJava的retryWhen操作符实现token过期自动刷新
- API接口JWT方式的Token认证(下),客户端(Android)的实现
- JQuery条件下使用 JS方式实现百度地图加载数据库中的坐标并实现动态刷新
- Laravel 5 中使用 JWT(Json Web Token) 实现基于API的用户认证
- Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,
- python使用json web token (jwt)实现http api的加密传输
- API接口JWT方式的Token认证(上),服务器(Laravel)的实现
- python使用json web token (jwt)实现http api的加密传输
- 用web用户控件的方式添加到webpart,使用ajax实现无刷新总结
- lumen5.5 使用 jwt-auth1.0 笔记
- 写了一个ASP.Net2.0中使用"客户端回调"实现无刷新例子
- 使用无刷新技术,去请求该失效Session的页面,实现跳转到重新登陆页面。
- 六步使用ICallbackEventHandler实现无刷新回调
- 六步使用ICallbackEventHandler实现无刷新回调