我尝试使用Tymon的JWTAuth在Laravel 5.5中实现基于令牌的身份验证。我关注了库的GitHub Documentation并使用了以下身份验证流程。这是我的登录路线的身份验证部分:
try {
// attempt to verify the credentials and create a token for the user
if (!$token = JWTAuth::attempt($credentials)) {
return response()->json(['success' => false, 'error' => 'Invalid Credentials. Please make sure you entered the right information and you have verified your email address.'], 401);
}
}
catch (JWTException $e) {
// something went wrong whilst attempting to encode the token
return response()->json(['success' => false, 'error' => 'could_not_create_token'], 500);
}
// all good so return the token
return response()->json(['success' => true, 'data'=> [ 'token' => $token ]]);
以下是路线:
Route::group([
'middleware' => ['jwt.auth', 'jwt.refresh'],
],
function () {
// Routes requiring authentication
Route::get('/logout', 'Auth\LoginController@logout');
Route::get('/protected', function() {
return 'This is a protected page. You must be logged in to see it.';
});
});
所以你可以看到我正在使用jwt.auth和jwt.refresh中间件。现在,一切看似按预期工作,我可以使用令牌验证用户身份。每个令牌的使用寿命为一次,每次请求(刷新流程)后都会提供另一个有效令牌。
但是,我的问题是,如果我有一个尚未使用的用户的有效令牌,然后我从标题中删除它并使用有效凭据点击/ login路由,我被发出另一个有效令牌。所以现在我有两个可用于验证用户身份的有效令牌,因为我的/ login路由不会使先前发出的令牌无效。
有没有人知道检查用户是否有未完成的有效令牌的方法,以便在用户从其他地方登录时它可能会失效?
答案 0 :(得分:0)
我做了一些研究后会回答我自己的问题。根据我的理解,除非明确列入黑名单,否则JWT代币是有效的。只要服务器识别出它自己创建了令牌,它就可以使用密钥解密令牌并假设它是有效的。这就是令牌生命周期如此重要的原因。因此,如果您想要使已颁发的令牌无效,您必须等待到期或将其列入黑名单。