更新Laravel API中tymon/jwt-auth令牌

Question

我有一个Laravel API，我已经安装了tymon/jwt-auth。为了登录用户并获取令牌，我使用以下代码：

if (! $token = auth()->attempt($request->only('email', 'password'), true)) {
    throw ValidationException::withMessages([
        'email' => 'Invalid Credentials',
    ]);
}

return new TokenResource([
    'token' => $token,
    'user' => $user,
]);

我还有一个refresh token的端点，它应该使旧的令牌失效并发放一个新的令牌。根据文档，我添加了以下代码：

return new TokenResource([
    'token' => auth()->refresh(),
    'user' => auth()->user(),
]);

问题是，当我使用当前令牌访问该端点时，它确实返回一个新的令牌，但旧的令牌仍然有效。

有没有一种方法可以使刷新令牌无效？

Answer 1

这是默认行为。所以为了实现你想要的结果，你可以将它们列入黑名单。当用户尝试使用一个令牌时，你可以检查它是否在黑名单中。如果是的话，你可以拒绝它。

你可以通过创建一个中间件来实现这一点，该中间件会检查令牌是否在黑名单中，并将该中间件应用于需要令牌验证的路由。

中间件：

public function handle($request, Closure $next)
{
    $token = $request->bearerToken();
    
    if (TokenBlacklist::where('token', $token)->exists()) {
        return response()->json(['message' => '令牌已失效'], 401);
    }

    return $next($request);
}

然而，只有在你的系统实际需要时才应该这样做。

Answer 2

在创建后，您无法手动使令牌过期。这就是令牌的工作原理。如果您创建了令牌，它将在过期之前有效，但您可以创建令牌的黑名单，每次刷新令牌时，将第一个令牌添加到黑名单中，还可以考虑降低令牌的生命周期（如果足够低），您可以依靠自动过期机制。