Как обновить токен после истечения срока действия access_token
Я использую пакет tymondesigns / jwt-auth в своем приложении laravel для аутентификации. Мой AuthController выглядит так:
<?php
namespace App\Http\Controllers;
use App\Http\Controllers\Controller;
use App\Http\Resources\UserResource;
use Illuminate\Http\Request;
use Tymon\JWTAuth\Contracts\Providers\Auth;
use Tymon\JWTAuth\Facades\JWTAuth;
class AuthController extends Controller {
public $auth;
/**
* Create a new AuthController instance.
*
* @return void
*/
public function __construct()
{
$this->middleware('jwt', ['except' => ['login']]);
}
/**
* Get a JWT via given credentials.
*
* @return \Illuminate\Http\JsonResponse
*/
public function login()
{
$user = \App\User::first();
auth()->byId($user->id);
if (! $token = JWTAuth::fromUser($user)) {
return response()->json(['error' => 'Unauthorized'], 401);
}
return $this->respondWithToken($token);
}
/**
* Get the authenticated User.
*
* @return \Illuminate\Http\JsonResponse
*/
public function me()
{
return response()->json(auth()->user());
}
/**
* Log the user out (Invalidate the token).
*
* @return \Illuminate\Http\JsonResponse
*/
public function logout()
{
auth()->logout();
return response()->json(['message' => 'Successfully logged out']);
}
/**
* Refresh a token.
*
* @return \Illuminate\Http\JsonResponse
*/
public function refresh()
{
$token = \Auth::guard()->refresh();
$user = JWTAuth::setToken($token)->toUser();
return $this->respondWithToken($token);
}
/**
* Get the token array structure.
*
* @param string $token
*
* @return \Illuminate\Http\JsonResponse
*/
protected function respondWithToken($token)
{
$responseArray = [
'access_token' => $token,
'user' => new UserResource(auth()->user()),
'token_type' => 'bearer',
'expires_in' => auth()->factory()->getTTL() * 60,
];
return response()->json($responseArray);
}
}
И у меня есть промежуточное ПО JWT, метод handle() которого выглядит так:
public function handle($request, Closure $next)
{
JWTAuth::parseToken()->authenticate();
return $next($request);
}
А вот маршруты:
Route::post('login', 'AuthController@login')->name('login');
Route::post('logout', 'AuthController@logout');
Route::post('refresh', 'AuthController@refresh');
Проблема в том, что я могу обновить токен только до тех пор, пока срок действия токена доступа не истек. Но что, если я хочу обновить токен после истечения срока действия токена доступа? Теперь он просто выбрасывает TokenExpiredException, когда я попадаю в маршрут /refresh после истечения срока действия токена. Как я могу обновить токен даже после истечения срока действия токена доступа?
Я не понимал. Мне нужен способ, чтобы мой пользователь оставался в системе. Поэтому мне нужно обновить его токен с помощью обновленного. Проблема в том, что я не могу обновить его после истечения срока действия токена доступа.
что вы используете в интерфейсе? Угловой или HTML, CSS, Javascript?
Мой интерфейс - это приложение на vuejs. Я вхожу в систему, беру токен доступа, срок действия которого по умолчанию составляет час, и храню его в локальном хранилище. Через час пользователь входит и обнаруживает, что его не аутентифицировали.
Поместите код в try-catch, и когда есть TokenExpiredException, поймайте его и выполните JWTAuth::refresh($old_token). Теперь будет сгенерирован новый токен. Передайте это клиентской части. Поскольку вы храните его в локальном хранилище, вы можете сделать if (localStorage.getItem('token') !== received_token){ localStorage.setItem(received_token) }
Ответы 2
public function token(){
$token = JWTAuth::getToken();
if (!$token){
throw new BadRequestHtttpException('Token not provided');
}
try{
$token = JWTAuth::refresh($token);
}catch(TokenInvalidException $e){
throw new AccessDeniedHttpException('The token is invalid');
}
return $this->response->withArray(['token'=>$token]);
}
Вроде есть пара вопросы, связанных с пакетом
Однако срок службы refresh_token отличается от срока службы access_token, вы можете настроить его в config/jwt.php.
Вам просто нужно убедиться, что ваш refresh_token жив, иначе, если оба истекут, пользователь должен запросить другой токен.
Еще один трюк - установить для этого ключа значение null, тогда у refresh_token будет неограниченный срок службы.
/*
|--------------------------------------------------------------------------
| Refresh time to live
|--------------------------------------------------------------------------
|
| Specify the length of time (in minutes) that the token can be refreshed
| within. I.E. The user can refresh their token within a 2 week window of
| the original token being created until they must re-authenticate.
| Defaults to 2 weeks.
|
| You can also set this to null, to yield an infinite refresh time.
| Some may want this instead of never expiring tokens for e.g. a mobile app.
| This is not particularly recommended, so make sure you have appropriate
| systems in place to revoke the token if necessary.
|
*/
'refresh_ttl' => env('JWT_REFRESH_TTL', 20160),
Вы можете отправить новый токен и следить за токенами во внешнем интерфейсе и обновлять его в своем интерфейсе, если есть изменения. Конечно, любой может передать токен и подделать его, но он станет недействительным, когда сервер проанализирует и аутентифицирует его, поскольку JWT все равно связывает его с user_id.