我正在使用 laravel sanctum 对我的移动应用进行 API 身份验证。
我们如何限制每个用户的最大活动令牌数?
目前,在personal_access_tokens sanctum 生成的表中,没有user_id 引用。使用当前表,想象一个用户是否可以无限制地登录和注销。我们将在表中创建 N 个新令牌。
【问题讨论】:
有一个对user的引用,即tokenable_type和tokenable_id。在这种情况下,它引用 App\Models\User 和 tokenable_id 中的用户 ID。
在您的应用程序的某个地方,您正在为该特定用户创建这些令牌。您可以在此处选择为每个登录会话颁发新令牌,但您也可以要求用户使用旧令牌。这取决于您和应用程序的用例。
但是,如果您要为每个登录会话创建新令牌,请考虑撤销旧令牌(因为它们可能不再被使用)。检查Sanctum documentation。
只要在config/sanctum.php 中的expiration 键中定义,令牌就有效。标准,personal access tokens 不会过期,因为 expiration 键设置为 null。
回答您的问题:
$user->tokens()->count(); 简单地获取令牌数量,然后对它做任何您想做的事情(删除旧令牌或返回错误)。tokens 永远有效,为什么要在每次登录时创建一个新的,而不是要求仍然有效的令牌?或者,您可以创建一个表单让用户在忘记旧令牌时请求新令牌,删除旧令牌并发布新令牌。这样,数据库中的所有令牌都是有效的。【讨论】:
takenable_type 和tokenable_id,现在一切都说得通了!我想我会坚持每个用户拥有一个令牌。对于用户第一次登录,我只需要检查现有令牌或创建一个。我对在用户注销时删除令牌的另一个担忧,但我想我会为该用户保留令牌,因为用户可能会从多个设备(如 iphone 和 ipad)使用应用程序,因为令牌将保存在本地。