Laravel JWT-auth 身份验证的注销问题

Question

我正在使用jwt-auth 在我的 API 中创建一个 RESTful 身份验证资源。当客户端应用调用登录资源时，案例用户已被记录，您当前的令牌必须失效，因此会生成一个新令牌。

但如果当前令牌被列入黑名单，则会抛出TokenBlacklistedException。

如何验证令牌是否被列入黑名单？或者如何正确实施用户“注销”？我尝试在 jwt-auth API 源上找到，但不存在 getToken()->isBlacklisted() 或 parseToken()->isBlacklisted() 或一些验证器来实现它。

如果令牌无效 parseToken() 会抛出 TokenBlacklistedException，因此 isBlacklisted 方法是在使令牌无效之前验证令牌是否有效的好方法。

信息：

下面的代码验证payload是否无效，如果无效则抛出TokenBlacklistedException：

if(
    false === \Tymon\JWTAuth\Blacklist::has(
        \Tymon\JWTAuth\Facades\JWTAuth::getPayload($token)
    )
) {
     \Tymon\JWTAuth\Facades\JWTAuth::parseToken()->invalidate();
}

如何验证：

if(false ===\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->isBlacklisted()) {
    // invalidate...
}

Answer 1

您可以在客户端注销时简单地销毁会话并使后端的令牌无效，您不需要使用黑名单。

从技术上讲，在客户端销毁令牌就足够了，但对于会话劫持，在后端使其无效也是一个好主意。

如果您要使令牌失效，则需要在您从 Laravel 获得响应后销毁令牌。

     JWTAuth::invalidate(JWTAuth::getToken());

然后在角边

function logout()
{ 
    UserService.logout().$promise.then(function() {
        $cookieStore.remove('userToken');
        // redirect or whatever 
    });
}

处理 JWT 异常的一种方法是在 laravel 中设置 EventServiceProvider，这是我的样子：

use Illuminate\Contracts\Events\Dispatcher as DispatcherContract;
use Illuminate\Foundation\Support\Providers\EventServiceProvider as ServiceProvider;

class EventServiceProvider extends ServiceProvider {

    /**
     * The event handler mappings for the application.
     *
     * @var array
     */
    protected $listen = [
        'tymon.jwt.valid' => [
            'App\Events\JWTEvents@valid',
        ],
        'tymon.jwt.user_not_found' => [
            'App\Events\JWTEvents@notFound'
        ],
        'tymon.jwt.invalid' => [
            'App\Events\JWTEvents@invalid'  
        ],
        'tymon.jwt.expired' => [
            'App\Events\JWTEvents@expired'  
        ],
        'tymon.jwt.absent' => [
            'App\Events\JWTEvents@missing'
        ]
    ];

    /**
     * Register any other events for your application.
     *
     * @param  \Illuminate\Contracts\Events\Dispatcher  $events
     * @return void
     */
    public function boot(DispatcherContract $events)
    {
        parent::boot($events);

        //
    }
}

您将在您的 app.php 中注册它。

然后我用每个事件的方法实现 JWTEvents 类。

class JWTEvents extends Event {
    
    // Other methods        

    public function invalid()
    {
        return response()->json(['error' => 'Token Invalid'], 401);
        die();
    }
}

需要注意的重要一点是，我们正在捕获 JWT 异常并返回带有特定状态代码的 json 响应。

在角度方面，我在我的 httpInterceptor 类中捕获了这些 http 状态代码。

angular.module('ngApp')
    .factory('httpInterceptor', function($q, $log, $cookieStore, $rootScope, Response) {
        return {
            
            request: function(config) {
                // Where you add the token to each request
            },
            
            responseError: function(response) {

                // Check if response code is 401 (or whatever)
                if (response.status === 401) {
                    // Do something to log user out & redirect.
                    $rootScope.$broadcast('invalid.token');
                }
            }
        }
    });

Answer 2

这对我有用。

public function logout( Request $request ) {

        $token = $request->header( 'Authorization' );

        try {
            JWTAuth::parseToken()->invalidate( $token );

            return response()->json( [
                'error'   => false,
                'message' => trans( 'auth.logged_out' )
            ] );
        } catch ( TokenExpiredException $exception ) {
            return response()->json( [
                'error'   => true,
                'message' => trans( 'auth.token.expired' )

            ], 401 );
        } catch ( TokenInvalidException $exception ) {
            return response()->json( [
                'error'   => true,
                'message' => trans( 'auth.token.invalid' )
            ], 401 );

        } catch ( JWTException $exception ) {
            return response()->json( [
                'error'   => true,
                'message' => trans( 'auth.token.missing' )
            ], 500 );
        }
    }

Answer 3

据我了解，没有人强调的一件事是用于刷新令牌的“jwt.refresh”（又名 RefreshTokenMiddleware）。

现在，如果任何想要执行注销操作的人将控制器方法包装在类似的路由中

Route::group(['middleware' => ['jwt.auth', 'jwt.refresh']], function()...

肯定会在注销响应中获得一个新令牌，因此客户端将能够执行新请求。

希望这可以帮助澄清这个问题。