后端:Laravel API。 前端:有角。
在Laravel上设置Passport软件包后,我使用常规方式来验证用户身份,然后以这种方式发出令牌:
$newToken = $user->createToken('myapp')->accessToken;
这可以正常工作,但问题是令牌寿命为1年,因为它被认为是Personal Access Tokens,并且文档中说:
个人访问令牌总是长期存在的。他们的一生不是 在使用tokensExpireIn或refreshTokensExpireIn时进行了修改 方法。
我的问题是如何在生命周期有限的应用程序内为用户发行令牌?
另一方面,暴露 client_secred 和 client_id 似乎很危险,因此我无法从角度出发oauth/token应用
答案 0 :(得分:0)
我敢肯定这不是最好的解决方案,但这就是我的想法,非常感谢eightyfive的回答:
首先在身份验证控制器中添加此受保护的方法。
protected function oauthLogin(Request $request)
{
$client = DB::table('oauth_clients')
->where('password_client', true)
->first();
$request->request->add([
"grant_type" => "password",
"username" => $request->email,
"password" => $request->password,
"client_id" => $client->id,
"client_secret" => $client->secret,
]);
$tokenRequest = $request->create(
env('APP_URL') . '/oauth/token',
'post'
);
$instance = Route::dispatch($tokenRequest);
return json_decode($instance->getContent());
}
然后仅在对用户进行身份验证之后在login方法中调用该方法:
public function login(Request $request)
{
$credentials = $request->only('email', 'password');
try {
// verify the credentials and create a token for the user
if ($token = Auth::guard('web')->attempt($credentials)) {
$user = Auth::guard('web')->user();
$roles = $user->roles()->get()->pluck('name');
$accessToken = $this->oauthLogin($request)->access_token; // instead of $user->createToken('token')->accessToken,
return response()->json([
'token' => $accessToken,
'roles' => $roles,
'email' => $request->input('email')
]);
} else {
return response()->json(['error' => 'invalid_credentials'], 401);
}
} catch (Exception $e) {
// something went wrong
return response()->json(['error' => 'could_not_create_token'], 500);
}
}
通过这种方式,已发行令牌仅限于您在 AuthServiceProvider.php 中设置的时间:
public function boot()
{
$this->registerPolicies();
//
Passport::routes();
Passport::tokensExpireIn(now()->addHour(1));
Passport::refreshTokensExpireIn(now()->addHour(1));
}