编辑:
阅读有关该bug的讨论,网址:https://github.com/tymondesigns/jwt-auth/issues/83
我的原始问题:
我用jwt auth实现了我的受保护资源,这些资源需要一个经过身份验证的用户,代码如下:
Route::group(['middleware' => ['before' => 'jwt.auth', 'after' => 'jwt.refresh']], function() {
// Protected routes
});
当用户在API上"登录"时,会创建一个授权令牌,并在响应授权标头上发送到调用资源的客户端应用程序。因此,当客户端应用程序在任何响应的头上截获授权令牌时,设置一个变量/会话/具有该令牌值的任何内容,以便在下一个请求时再次发送到API。
"登录"后对受保护资源的第一个请求工作正常,但使用刷新令牌向API发出的下一个客户端应用程序请求会出现以下错误(API以json格式装载所有响应):
{
"error": "token_invalid"
}
刷新后的代币会发生什么?我的刷新令牌实现(设置为后中间件)是错误的?或者不需要手动刷新客户端应用程序请求附带的所有授权令牌?
更新:
我按照这里的建议更新了jwt-auth-RefreshToken中间件,但token_invalid仍然存在。
BUG:
我想我发现了发生的事情。注意,在刷新方法中,旧令牌被添加到启用黑名单缓存的情况中:
// TymonJWTAuthJWTManager
public function refresh(Token $token)
{
$payload = $this->decode($token);
if ($this->blacklistEnabled) {
// invalidate old token
$this->blacklist->add($payload);
}
// return the new token
return $this->encode(
$this->payloadFactory->setRefreshFlow()->make([
'sub' => $payload['sub'],
'iat' => $payload['iat']
])
);
}
注意,在添加到黑名单方法中,密钥是来自旧令牌有效载荷的jti参数:
// TymonJWTAuthBlacklist
public function add(Payload $payload)
{
$exp = Utils::timestamp($payload['exp']);
// there is no need to add the token to the blacklist
// if the token has already expired
if ($exp->isPast()) {
return false;
}
// add a minute to abate potential overlap
$minutes = $exp->diffInMinutes(Utils::now()->subMinute());
$this->storage->add($payload['jti'], [], $minutes);
return true;
}
因此,当调用黑名单上的has方法时,旧令牌jti param与新令牌相同,因此新令牌在黑名单中:
// TymonJWTAuthBlacklist
public function has(Payload $payload)
{
return $this->storage->has($payload['jti']);
}
如果您不需要黑名单功能,只需在jwt.php配置文件中将其设置为false即可。但我不能说它是否暴露了一些安全漏洞。
阅读有关该bug的讨论,网址:https://github.com/tymondesigns/jwt-auth/issues/83
当我遇到这个问题时,我发现让我的项目正常工作的解决方案是在每个新请求中使用旧令牌中的数据生成一个新令牌。
我的解决方案对我来说是糟糕的、丑陋的,并且如果您有许多异步请求并且API(或业务核心)服务器速度缓慢,则可能会产生更多问题。
目前正在工作,但我将对这个问题进行更多的调查,因为在0.5.3版本之后,问题仍在继续。
例如:
请求1(获取/登录):
Some guest data on token
请求2(POST/登录响应):
User data merged with guest data on old token generating a new token
程序代码示例(你可以做得更好=),你可以在routes.php上运行这个脱离路由,我说这很难看哈哈:
// ----------------------------------------------------------------
// AUTH TOKEN WORK
// ----------------------------------------------------------------
$authToken = null;
$getAuthToken = function() use ($authToken, $Response) {
if($authToken === null) {
$authToken = JWTAuth::parseToken();
}
return $authToken;
};
$getLoggedUser = function() use ($getAuthToken) {
return $getAuthToken()->authenticate();
};
$getAuthPayload = function() use ($getAuthToken) {
try {
return $getAuthToken()->getPayload();
} catch (Exception $e) {
return [];
}
};
$mountAuthPayload = function($customPayload) use ($getLoggedUser, $getAuthPayload) {
$currentPayload = [];
try {
$currentAuthPayload = $getAuthPayload();
if(count($currentAuthPayload)) {
$currentPayload = $currentAuthPayload->toArray();
}
try {
if($user = $getLoggedUser()) {
$currentPayload['user'] = $user;
}
$currentPayload['isGuest'] = false;
} catch (Exception $e) {
// is guest
}
} catch(Exception $e) {
// Impossible to parse token
}
foreach ($customPayload as $key => $value) {
$currentPayload[$key] = $value;
}
return $currentPayload;
};
// ----------------------------------------------------------------
// AUTH TOKEN PAYLOAD
// ----------------------------------------------------------------
try {
$getLoggedUser();
$payload = ['isGuest' => false];
} catch (Exception $e) {
$payload = ['isGuest' => true];
}
try {
$payload = $mountAuthPayload($payload);
} catch (Exception $e) {
// Make nothing cause token is invalid, expired, etc., or not exists.
// Like a guest session. Create a token without user data.
}
一些路线(保存用户移动设备的简单示例):
Route::group(['middleware' => ['before' => 'jwt.auth', 'after' => 'jwt.refresh']], function () use ($getLoggedUser, $mountAuthPayload) {
Route::post('/session/device', function () use ($Response, $getLoggedUser, $mountAuthPayload) {
$Response = new IlluminateHttpResponse();
$user = $getLoggedUser();
// code to save on database the user device from current "session"...
$payload = app('tymon.jwt.payload.factory')->make($mountAuthPayload(['device' => $user->device->last()->toArray()]));
$token = JWTAuth::encode($payload);
$Response->header('Authorization', 'Bearer ' . $token);
$responseContent = ['setted' => 'true'];
$Response->setContent($responseContent);
return $Response;
});
});