我有一个很好的登录方法,该方法可以为用户生成一个JWT令牌以在AdonisJS上进行身份验证。但是,如果用户单击“注销”按钮,或者即使我想自己手动阻止它,将来如何阻止该令牌呢?
我知道我可以从客户端将其删除,但是问题是令牌仍将处于活动状态(例如,在其他人以某种方式窃取此令牌的情况下,他们仍然可以访问API)。 / p>
任何想法如何解决?谢谢
答案 0 :(得分:2)
您应该在AdonisJs中使用撤消令牌
jwt和api方案公开了使用auth接口撤消令牌的方法。
对于jwt,刷新令牌仅被撤消,因为实际令牌是 从未保存在数据库中
revokeTokens(令牌,删除=假)
以下方法将通过在令牌表中设置一个标志来撤销令牌:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken])
如果将true作为第二个参数传递,则将不从数据库中删除相关行,而无需设置is_revoked数据库标志:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken], true)
要撤消所有令牌,请不带任何参数调用revokeTokens:
await auth
.authenticator('jwt')
.revokeTokens()
当撤销当前登录用户的api令牌时,您可以从请求标头中访问值:
// for currently loggedin user
const apiToken = auth.getAuthHeader()
await auth
.authenticator('api')
.revokeTokens([apiToken])
revokeTokensForUser(user, tokens, delete = false)
此方法与revokeTokens方法相同,但您可以自己指定用户:
const user = await User.find(1)
await auth
.authenticator('jwt')
.revokeTokensForUser(user)