为什么我的jwt令牌永不过期?

时间:2017-08-28 08:20:31

标签: symfony lexikjwtauthbundle

我继承了一个使用此控制器对用户进行身份验证的Symfony项目:

class TokenController extends FOSRestController
{
    public function postTokensAction(Request $request)
    {
        $username = $request->request->get('username');
        $password = $request->request->get('password');

        $user = $this->get('fos_user.user_manager')
                     ->findUserByUsername($username);

        if (!$user) {
            throw $this->createNotFoundException();
        }

        $passwordEncoder = $this->get('security.password_encoder');
        if(!$passwordEncoder->isPasswordValid($user, $password)) {
            throw $this->createAccessDeniedException();
        }

        $groups = ['foo', 'bar'];
        $context = SerializationContext::create()
                       ->setGroups($groups);

        $token = $this->get('lexik_jwt_authentication.encoder')
                      ->encode(['username' => $user->getUsername()]);

        $user = $this->get('jms_serializer')
                     ->toArray($user, $context);

        return new JsonResponse([
            'token' => $token,
            'user' => $user
        ]);
    }
}

客户请求更新:令牌应在登录后10秒到期。因此,根据文档,我添加了这个监听器。

<?php

namespace AppBundle\EventListener;

use Lexik\Bundle\JWTAuthenticationBundle\Event\JWTCreatedEvent;

class JWTCreatedListener
{
    public function onJWTCreated(JWTCreatedEvent $event)
    {
        $expiration = new \DateTime('now');
        $expiration->add(new \DateInterval('PT10S'));
        $payload = $event->getData();
        $payload['exp'] = $expiration->getTimestamp();
        $event->setData($payload);
    }
}

当然,我已经标记了听众观察事件

acme_api.event.jwt_created_listener:
    class: AppBundle\EventListener\JWTCreatedListener
    tags:
        - { name: kernel.event_listener, event: lexik_jwt_authentication.on_jwt_created, method: onJWTCreated }

如果我使用Postman获得令牌并使用它来发出以下请求,我可以提出这些请求数天和数天。令牌永不过期。我的JWTCreatedListener似乎不起作用。

出了什么问题?

2 个答案:

答案 0 :(得分:1)

它们永不过期,因为您使用的是低级api,即JWT编码器。正如您所看到的(因为您调用它),encode()获取有效负载。 要获得令牌过期,有效负载必须包含exp声明,并将到期时间戳作为值 这由lexik_jwt_authentication.jwt_manager服务处理,该服务使用lexik_jwt_authentication.encoder.token_ttl配置选项的值来确定到期日期。设置它并使用$this->get('lexik_jwt_authentication.jwt_manager')->create($user)创建令牌,然后$this->get('lexik_jwt_authentication.jwt_manager')->decode($token)进行解码/验证。

请注意,为了正确使用此捆绑包(允许挂钩它提供的所有事件),您应该考虑使用适当的安全配置(如README中所示),而不是在控制器中手动执行此操作。

答案 1 :(得分:1)

关键在于:

$token = $this->get('lexik_jwt_authentication.encoder')
              ->encode(['username' => $user->getUsername()]);

我需要添加另一个参数来编码函数:

$token = $this->get('lexik_jwt_authentication.encoder')
              ->encode([
                  'username' => $user->getUsername(),
                  'exp'      => (new \DateTime('+30 minute'))->getTimestamp(),
              ]);
相关问题
最新问题