我使用
jwt-auth在我的API中创建RESTful auth资源.当客户端应用程序调用登录资源时,将记录案例用户,您的当前令牌必须无效,因此会生成新令牌.
但是当前令牌被列入黑名单时会抛出TokenBlacklistedException.
如何验证令牌是否被列入黑名单?或者如何纠正实施用户“注销”?我尝试在jwt-auth API源上找到但不存在getToken() – > isBlacklisted()或parseToken() – > isBlacklisted()或一些验证器来实现它.
令牌无效parseToken()会抛出TokenBlacklistedException,因此isBlacklisted方法是在令牌无效之前验证令牌是否有效的好方法.
信息:
下面的代码验证有效负载是否无效,如果无效则抛出TokenBlacklistedException:
if( false === \Tymon\JWTAuth\Blacklist::has( \Tymon\JWTAuth\Facades\JWTAuth::getPayload($token) ) ) { \Tymon\JWTAuth\Facades\JWTAuth::parseToken()->invalidate(); }
如何验证如下:
if(false ===\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->isBlacklisted()) { // invalidate... }
您可以简单地在客户端销毁会话并在后端使令牌无效时,您不需要使用黑名单.
技术上破坏客户端上的令牌就足够了,但是对于会话劫持,在后端使其无效也是一个好主意.
如果您无效,则需要在收到Laravel的回复后销毁令牌.
JWTAuth::invalidate(JWTAuth::getToken())):
然后在角度方面
function logout() { UserService.logout().$promise.then(function() { $cookieStore.remove('userToken'); // redirect or whatever }); }
处理JWT异常的一种方法是在laravel中设置EventServiceProvider,这是我的样子:
use Illuminate\Contracts\Events\Dispatcher as DispatcherContract; use Illuminate\Foundation\Support\Providers\EventServiceProvider as ServiceProvider; class EventServiceProvider extends ServiceProvider { /** * The event handler mappings for the application. * * @var array */ protected $listen = [ 'tymon.jwt.valid' => [ 'App\Events\JWTEvents@valid',],'tymon.jwt.user_not_found' => [ 'App\Events\JWTEvents@notFound' ],'tymon.jwt.invalid' => [ 'App\Events\JWTEvents@invalid' ],'tymon.jwt.expired' => [ 'App\Events\JWTEvents@expired' ],'tymon.jwt.absent' => [ 'App\Events\JWTEvents@missing' ] ]; /** * Register any other events for your application. * * @param \Illuminate\Contracts\Events\Dispatcher $events * @return void */ public function boot(DispatcherContract $events) { parent::boot($events); // } }
然后我用每个事件的方法实现JWTEvents类.
class JWTEvents extends Event { // Other methods public function invalid() { return response()->json(['error' => 'Token Invalid'],401); die(); } }
需要注意的重要一点是,我们正在捕获JWT异常并返回具有特定状态代码的json响应.
在角度方面,我在我的httpInterceptor类中捕获这些http状态代码.
angular.module('ngApp') .factory('httpInterceptor',function($q,$log,$cookieStore,$rootScope,Response) { return { request: function(config) { // Where you add the token to each request },responseError: function(response) { // Check if response code is 401 (or whatever) if (response.status === 401) { // Do something to log user out & redirect. $rootScope.$broadcast('invalid.token'); } } } });