堆栈内存溢出
  繁体   English   中英

Laravel JWT-auth 身份验证的注销问题

[英]Logout issue with Laravel JWT-auth authentication

 原文  2015-04-14 15:24:16       php/ angularjs/ authentication/ laravel/ jwt

问题描述

我正在使用jwt-auth在我的 API 中创建一个 RESTful auth 资源。 当客户端应用程序调用登录资源时,记录用户案例,您当前的令牌必须无效,因此会生成新的令牌。

但是,如果当前令牌被列入黑名单, TokenBlacklistedException抛出TokenBlacklistedException

如何验证令牌是否被列入黑名单? 或者如何正确实现用户“注销”? 我尝试在 jwt-auth API 源上找到,但不存在getToken()->isBlacklisted()parseToken()->isBlacklisted()或一些验证器来实现它。

曾经令牌无效 parseToken() 抛出 TokenBlacklistedException,因此 isBlacklisted 方法是在使令牌无效之前验证令牌是否有效的好方法。

信息:

下面的代码验证有效载荷是否无效,如果无效则抛出TokenBlacklistedException

if(
    false === \Tymon\JWTAuth\Blacklist::has(
        \Tymon\JWTAuth\Facades\JWTAuth::getPayload($token)
    )
) {
     \Tymon\JWTAuth\Facades\JWTAuth::parseToken()->invalidate();
}

如何验证如下:

if(false ===\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->isBlacklisted()) {
    // invalidate...
}

3 个解决方案

解决方案1
 17 已采纳  2015-04-14 15:29:59

您可以简单地在客户端注销时销毁会话并使后端的令牌无效,您不需要使用黑名单。

从技术上讲,在客户端销毁令牌就足够了,但是对于会话劫持,在后端使其无效也是一个好主意。

如果您正在失效,则需要在收到 Laravel 的响应后销毁令牌。


     JWTAuth::invalidate(JWTAuth::getToken());

然后在有角度的一侧

function logout()
{ 
    UserService.logout().$promise.then(function() {
        $cookieStore.remove('userToken');
        // redirect or whatever 
    });
}

处理 JWT 异常的一种方法是在 laravel 中设置一个EventServiceProvider ,这是我的样子:

use Illuminate\Contracts\Events\Dispatcher as DispatcherContract;
use Illuminate\Foundation\Support\Providers\EventServiceProvider as ServiceProvider;

class EventServiceProvider extends ServiceProvider {

    /**
     * The event handler mappings for the application.
     *
     * @var array
     */
    protected $listen = [
        'tymon.jwt.valid' => [
            'App\Events\JWTEvents@valid',
        ],
        'tymon.jwt.user_not_found' => [
            'App\Events\JWTEvents@notFound'
        ],
        'tymon.jwt.invalid' => [
            'App\Events\JWTEvents@invalid'  
        ],
        'tymon.jwt.expired' => [
            'App\Events\JWTEvents@expired'  
        ],
        'tymon.jwt.absent' => [
            'App\Events\JWTEvents@missing'
        ]
    ];

    /**
     * Register any other events for your application.
     *
     * @param  \Illuminate\Contracts\Events\Dispatcher  $events
     * @return void
     */
    public function boot(DispatcherContract $events)
    {
        parent::boot($events);

        //
    }
}

您将在 app.php 中注册它。

然后我使用每个事件的方法实现 JWTEvents 类。

class JWTEvents extends Event {
    
    // Other methods        

    public function invalid()
    {
        return response()->json(['error' => 'Token Invalid'], 401);
        die();
    }
}

需要注意的重要一点是,我们正在捕获 JWT 异常并返回带有特定状态代码的 json 响应。

在角度方面,我在 httpInterceptor 类中捕获了这些 http 状态代码。

angular.module('ngApp')
    .factory('httpInterceptor', function($q, $log, $cookieStore, $rootScope, Response) {
        return {
            
            request: function(config) {
                // Where you add the token to each request
            },
            
            responseError: function(response) {

                // Check if response code is 401 (or whatever)
                if (response.status === 401) {
                    // Do something to log user out & redirect.
                    $rootScope.$broadcast('invalid.token');
                }
            }
        }
    });

解决方案2
 6  2019-06-26 21:38:27

这对我有用。

public function logout( Request $request ) {

        $token = $request->header( 'Authorization' );

        try {
            JWTAuth::parseToken()->invalidate( $token );

            return response()->json( [
                'error'   => false,
                'message' => trans( 'auth.logged_out' )
            ] );
        } catch ( TokenExpiredException $exception ) {
            return response()->json( [
                'error'   => true,
                'message' => trans( 'auth.token.expired' )

            ], 401 );
        } catch ( TokenInvalidException $exception ) {
            return response()->json( [
                'error'   => true,
                'message' => trans( 'auth.token.invalid' )
            ], 401 );

        } catch ( JWTException $exception ) {
            return response()->json( [
                'error'   => true,
                'message' => trans( 'auth.token.missing' )
            ], 500 );
        }
    }

解决方案3
 4  2015-08-26 09:31:12

据我了解,没有人强调的一件事是用于刷新令牌的“jwt.refresh”(又名 RefreshTokenMiddleware)。

现在,如果任何想要执行注销操作的人将控制器方法包装在类似的路由中

Route::group(['middleware' => ['jwt.auth', 'jwt.refresh']], function()...

肯定会在注销响应中获得一个新令牌,因此客户端将能够执行新请求。

希望这可以帮助澄清这个问题。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 注销不适用于Laravel JWT-auth 如何更改laravel 5中jwt-auth使用的身份验证表 laravel 5.6.4使用“ tymon / jwt-auth”的身份验证不起作用 使用JWT-Auth进行Laravel测试 Laravel 9 JWT 注销问题 php-open-source-saver/jwt-auth laravel jwt-auth 令牌无效 在 jwt-auth laravel 中获取自定义声明 将用户角色添加到jwt,laravel 5 jwt-auth 如何在 Laravel 中使用 JWT-auth 解码 JWT 如何使用 jwt-auth 在 Laravel 中正确设置 JWT 机密?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM