Kemas kini token tymon/jwt-auth dalam API Laravel

Question

Saya mempunyai API Laravel dan saya telah memasang tymon/jwt-auth. Untuk log masuk pengguna dan mendapatkan token saya menggunakan kod berikut:

if (! $token = auth()->attempt($request->only('email', 'password'), true)) {
    buang Pengecualian Pengesahan::denganMesej([
        'email' => 'Kelayakan Tidak Sah',
    ]);
}

kembalikan Sumber Token baharu([
    'token' => $token,
    'pengguna' => $pengguna,
]);

Saya juga mempunyai titik akhir untuk token muat semula yang sepatutnya membatalkan token lama dan mengeluarkan yang baharu. Menurut dokumentasi, saya menambah kod berikut: 
kembali TokenResource baharu([
    'token' => auth()->refresh(),
    'pengguna' => auth()->user(),
]);

Masalahnya ialah apabila saya mengakses titik akhir dengan token semasa, ia mengembalikan token baharu, tetapi token lama masih sah. 
Adakah terdapat cara untuk membatalkan token muat semula? 
            

Answer 1

Ini ialah tingkah laku lalai. Jadi untuk mencapai hasil yang anda inginkan, anda boleh menyenaraihitamkannya. Apabila pengguna cuba menggunakan token, anda boleh menyemak sama ada ia berada dalam senarai hitam. Jika ya, anda boleh menolaknya.

Anda boleh mencapai ini dengan mencipta perisian tengah yang menyemak sama ada token berada dalam senarai hitam dan menggunakan perisian tengah itu pada laluan yang memerlukan pengesahan token.

Perisian tengah:

public function handle($request, Closure $next)
{
    $token = $request->bearerToken();
    
    if (TokenBlacklist::where('token', $token)->exists()) {
        return response()->json(['message' => '令牌已失效'], 401);
    }

    return $next($request);
}

Walau bagaimanapun, anda hanya perlu melakukan ini jika sistem anda benar-benar memerlukannya.

Answer 2

Anda tidak boleh tamat tempoh token secara manual selepas penciptaan. Beginilah cara token berfungsi. Jika anda mencipta token ia akan sah sehingga ia tamat tempoh, tetapi anda boleh membuat senarai hitam token dan setiap kali anda memuat semula token, tambahkan token pertama pada senarai hitam, juga pertimbangkan untuk menurunkan jangka hayat token (jika cukup rendah), anda boleh bergantung pada mekanisme tamat tempoh automatik.