在使用laravel时候 摒弃了自带的Auth和passport。主要原因是项目前后端分离,后端写api接口,另外email不做登录选项,password和用户信息存储分开存。在使用JWT过程中遇到很多的坑。
坑1 不能用JWTAuth静态调用
直接
public function xxx (JWTAuth $jwt){
$jwt->xxx;
}
这里的JWTAuth是
use Tymon\JWTAuth\JWTAuth;
感兴趣的可以看看 JWT.php 和JWTAuth.php这两个文件
坑2 token过期自动刷新
token有两个有效期,在config/jwt.php下面
'ttl' => env('JWT_TTL', 60),
'refresh_ttl' => env('JWT_REFRESH_TTL', 20160),
这假设用户登录,半个月内登录有效,那么这里的半个月是refresh_ttl,ttl是什么呢?ttl是单个签发的token有效期。
你半个月内可以有n个token,毕竟1个小时就过期,这时候过期不是真正过期,可以进行签发新token。
看了很多文档,大体上就写了个refresh token的接口
其实JWT在处理时候,如果token过期,你没有进行try catch处理,这里会报错的。而且前端没有获取到新token需要存储。
public function tokenValidator(&$request,$jwt){
#检测request中header头是否带了token
if(is_null($token = \request() ->header('authorization'))){
$this->response(400,'Authorization Failed,未携带Authorization');
}
#提取token中用户数据
try{
$user = $jwt->parseToken()->toUser()->toArray();
if(! $user){
$this->response(200,'用户不存在','');
}
}catch (TokenExpiredException $exception){
#异常处理 token过有效期,进行刷新
try{
$token = $jwt->refresh();
$access_token = 'Bearer'.$token;
$request->headers->set('Authorization',$access_token);
}catch(JWTException $exception){
#refresh 也过期,重新登录
$this->response(400,'Authorization过期,重新登录');
}
}
}
token如果过期,通过TokenExpiredException 可以catch到异常然后进行刷新token,刷新token又不能这时候response给前端,因为你用户登录有效期没过,这个接口得继续往下走,那么在request header头里加上这个token,后面接口使用时候就是新token,但是后面接口在返回时候又要带上新token给前端,让前端进行存储。
总觉得自己写的代码号low
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。