首先我们应该了解,JWT-Auth中Token是什么?
JWT实现的时候,一般会有两个过期时间
-
第一个是Token本身的过期时间,这个时间一般1到2个小时,不能太长,也可以在短一点,不过5s的简直纯属扯淡。
-
第二个是Token过期后,再次刷新的有效期,也就是Token过期后,你还有一段时间可以重新刷新,把过期的Token发给服务端,如果没有过刷新截止期,则服务端返回一个新的Token,不再需要通过用户名密码重新登录获取Token了。
所以为了减少过期后重新获取Token所带来的麻烦,我们一般在每次Http请求成功后,将目前的Token刷新,然后可以在Http响应中返回新的Token。
JWT由于过期数据(exp claim)是封装在Payload中的,所以必须返回一个新Token,而不是在旧Token的基础上刷新。
但是在并发的时候也会出现问题,如果前一个请求刷新了Token(为了安全,刷新后一般会把旧Token加入黑名单),后面的请求使用了一个旧的Token像服务请求数据,这个时候请求会被拒绝。
可以说这真的是JWT的一个缺陷,目前没有特别好的办法来解决并发刷新的问题。
下面说,实现方式
1、你可以写一个中间件
- $app->post('auth/refresh-token', ['middleware' => 'jwt.refresh', function() {
- try {
- $old_token = JWTAuth::getToken();
- $token = JWTAuth::refresh($old_token);
- JWTAuth::invalidate($old_token);
- } catch (TokenExpiredException $e) {
- throw new AuthException(
- Constants::get('error_code.refresh_token_expired'),
- trans('errors.refresh_token_expired'), $e);
- } catch (JWTException $e) {
- throw new AuthException(
- Constants::get('error_code.token_invalid'),
- trans('errors.token_invalid'), $e);
- }
- return response()->json(compact('token'));
- }]);
2、你可以写一个方法,用路由调用
/**
* @api {put} /updateToken 刷新token(refresh token)
* @apiDescription 刷新token(refresh token)
* @apiGroup User
*/
public function updateToken()
{
try {
$old_token = JWTAuth::getToken();
$token = JWTAuth::refresh($old_token);
JWTAuth::invalidate($old_token);
$cacheKey = 'token';
Cache::forever($cacheKey,$token);
} catch (TokenExpiredException $e) {
throw new AuthException(
trans('errors.refresh_token_expired'), $e);
} catch (JWTException $e) {
throw new AuthException(
trans('errors.token_invalid'), $e);
}
return response()->json(compact('token'));
}
$api->put('updateToken','UserController@updateToken');