Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

Laravel Sanctum 如何自定义每个 token 的过期时间

MArtian 的个人博客 / 1728 / 14 / 创建于 2年前 / 更新于 2年前

之前论坛中有人提问过 问答:Sanctum 没办法手动设置过期时间吧?

如果要定义 Sanctum token 的过期时间,可以在 config/sanctum.php 中来统一定义。

'expiration'  =>  env("SANCTUM_TTL",  10080), 
'refresh_expiration'  =>  env("SANCTUM_REFRESH_TTL",  43200),

这样的配置 token 的有效期是全局生效的,例如:

token1 token2 token3
120m 120m 120m

但如果我们想要以下的方式呢?

token1 token2 token3
10m 60m 70m

要这么做也很简单,思路如下:

  1. 在 Sanctum 迁移文件中添加 expired_at 字段。
  2. 覆写 HasApiToken 中的 createToken 方法。
  3. personal_access_tokens 表创建模型,并将 expired_at 写入 fillable 属性中。
  4. 在 Sanctum 的 authenticate 回调方法中验证 expired_at 来判断 token 是否过期。

如果你的项目还没有使用过 Sanctum

composer require laravel/sanctum

发布 Sanctum 的配置文件和迁移文件:

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"

Step1

来添加字段到迁移文件中,打开 migrations/create_personal_access_token,将

$table->timestamp('expired_at')->nullable();

添加到 $table->timestamp('last_used_at')->nullable(); 之后。

$table->id();
$table->morphs('tokenable');
$table->string('name');
$table->string('token', 64)->unique();
$table->text('abilities')->nullable();
$table->timestamp('last_used_at')->nullable();
$table->timestamp('expired_at')->nullable(); // 新增
$table->timestamps();

执行迁移:

php artisan migrate

Step2

在 User 模型中使用 trait HasApiTokens,然后来复写一下 其中的 createToken 方法。

// Models/User.php
public function createToken(string $name, array $abilities = ['*'], $expired_at = 3)
{
    $token = $this->tokens()->create([
        'name' => $name,
        'token' => hash('sha256', $plainTextToken = Str::random(40)),
        'abilities' => $abilities,
        'expired_at' => now()->addHours($expired_at) // 添加这行,先给它默认有效3小时。
]);

return new NewAccessToken($token, $token->getKey().'|'.$plainTextToken);
}

Step3

为 Sanctum 创建模型

php artisan make:model PersonalAccessToken

添加 expired_atfillable 属性: 

use Laravel\Sanctum\PersonalAccessToken as Model; // 这里要注意模型的继承,NewAccessToken 控制器中只接受 `Laravel\Sanctum\PersonalAccessToken` 模型。
class PersonalAccessToken extends Model
{
    protected $casts = [
        'abilities' => 'json',
        'last_used_at' => 'datetime',
        'expired_at' => 'datetime'
    ];

    protected $fillable = [
        'name',
        'token',
        'abilities',
        'expired_at'
    ];
}

基于 Sanctum 的文档,如果你想要使用自定义的模型,需要在 providers/AuthServiceProvider.php 中注册:

public function boot()
{

...

Sanctum::usePersonalAccessTokenModel(PersonalAccessToken::class);

}

Step5

最后来让我们修改 Sanctum 的认证回调逻辑,默认情况下,它只会计算 token 的哈希值来确保它是有效的。

这是 Sanctum 验证 token 的代码逻辑:

protected function isValidAccessToken($accessToken): bool
{
    if (! $accessToken) {
        return false;
    }

    $isValid =
        (! $this->expiration || $accessToken->created_at->gt(now()->subMinutes($this->expiration)))
        && $this->hasValidProvider($accessToken->tokenable);

    if (is_callable(Sanctum::$accessTokenAuthenticationCallback)) {
        $isValid = (bool) (Sanctum::$accessTokenAuthenticationCallback)($accessToken, $isValid);
    }

    return $isValid;
}

注意这里有一个判断:

if(is_callable(Sanctum::$accessTokenAuthenticationCallback))

如果这个回调方法存在,则 token 是否有效就取决于我们自定义的回调。

再次打开 providers/AuthServiceProvider.php 文件,来注册这个回调

Sanctum::authenticateAccessTokensUsing(
    static function (PersonalAccessToken $accessToken, bool $is_valid) {
        // 自定义的验证逻辑
    }
);

鉴于我们添加了自定义回调,会影响现有的已经颁发 token 的用户,所以这里我们来做一个判断,如果 expired_at 字段不为 null,我们就检查它是否过期,否则就不进行回调处理。

return $accessToken->expired_at ? $is_valid && !$accessToken->expired_at->isPast() : $is_valid;

来测试一下

创建验证控制器

php artisan make:controller Api\AuthorizationController.php
public function store(Request $request)
{
    if (!Auth::attempt($request->only(['email', 'password'])))     {
        abort(403);
    }

    $token = auth()->user()->createToken('api', ['*'], 5);
    return response()->json([
        'token' => $token->plainTextToken,
        'expired_at' => $token->accessToken->expired_at
    ]);
}

Laravel Sanctum 如何自定义每个 token 的过期时间

为了方便测试,我们手动更改一下表中的过期时间,将它改成过去的时间

Laravel Sanctum 如何自定义每个 token 的过期时间

api.php 路由中添加:

Route::group([
    'middleware' => [
        'auth:sanctum'
    ]
],function(){
    Route::get('test_token', function(){
        return 'token有效';
    }); 
});

Bearer Token 来访问 your_project.test/api/test_token,下面我就不再演示了。

最后,token 的默认创建时间

上面的 createToken 方法中,我们默认先将 token 有效期设定为了 3 小时,下面我们来更改为 「如果没有传入有效期时,为它使用全局配置」

打开 config/sanctum.php 配置文件,添加全局配置:

'default_expiration'  =>  env("SANCTUM_DEFAULT_EXPIRATION",  10080),

改写 createToken 方法为:

public function createToken(string $name, array $abilities = ['*'], $expired_at = null)
{
    $expired_at = $expired_at ?: config('sanctum.default_expiration');

    $token = $this->tokens()->create([
        'name' => $name,
        'token' => hash('sha256', $plainTextToken = Str::random(40)),
        'abilities' => $abilities,
        'expired_at' => now()->addHours($expired_at)
    ]);
    return new NewAccessToken($token, $token->getKey().'|'.$plainTextToken);
}

这里需要注意的一点是,如果我们将过期时间使用以上方法时,就不要再为配置文件添加以下两个配置:

refresh_expiration
expiration

否则 Sanctum 会在我们进行回调验证之前来决定 token 是否过期。

总结

这个解决方案不只适用于 User 模型,它是通用的,只要使用以上方法,可以为任意需要验证的表来添加自定义有效期的 token

enjoy :tada:

本作品采用《CC 协议》,转载必须注明作者和本文链接
悲观者永远正确,乐观者永远前行。
本帖由系统于 1年前 自动加精
MArtian
版主 3.1k 声望
Talk is cheap show me the code.
《L03 构架 API 服务器》
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
《L02 从零构建论坛系统》
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 14
排序:
时间 投票
sharejia
Laravel 9.x 译者 49 声望

非常奈斯

2年前 评论
chowjiawei
Laravel 8.x 译者 1.4k 声望 / 想转行啊 @ 新大陆数字技术

还有一种方式 很好用 并且可以做主题的 切换 那就是 config 修改配置文件 临时生效 只在本次失效

2年前 评论
MArtian (楼主) 2年前
哈哈,你写一篇嘛,我去给你点赞
chowjiawei (作者) 2年前
@MArtian 是不是也1点半上班
MArtian (楼主) 2年前
@chowjiawei 哈哈,对
JieAnthony
课程读者 31 声望

这包唯一蛋疼的地方就是每次请求都会有三条sql。。

2年前 评论
ononl
156 声望

什么时候不对数据库操作我在使用。不然我是不会使用这个包了,原本jwt的优势中就有减少数据库操作的优势。有私密数据可以多次加密也可以尽量保证数据安全。一般服务器secret不泄露的情况下都是安全的。

2年前 评论
小李世界
Laravel 8.x 译者 1.9k 声望 / Doge 先锋 @ dogeow.com

没想到这个人就是我 :see_no_evil:

1年前 评论
MArtian (楼主) 1年前
哈哈 :laughing: 其实我也好奇这个功能怎么做,就研究了一下。
pretendtrue
课程读者 44 声望

在 step 2 的时候,User 模型是不是还得重写 tokens()方法呢?不然在这张表 personal_access_tokens 中的过期时间就无法记录了。

    .
    .
    .
    /**
     * Get the access tokens that belong to model.
     *
     * @return \Illuminate\Database\Eloquent\Relations\MorphMany
     */
    public function tokens(): \Illuminate\Database\Eloquent\Relations\MorphMany
    {
        return $this->morphMany(PersonalAccessToken::class, 'tokenable');
    }
1年前 评论
MArtian (楼主) 1年前
嗯... token 的过期时间不是在颁发时就已经确定了吗?
pretendtrue (作者) 1年前
@MArtian 你的是正确的,我漏看了 :sweat_smile: ,setp 3 中在 providers/AuthServiceProvider.php 注册使用自定义模型
深蓝色
课程读者 77 声望

我连统一配置的过期时间好像都不行

1年前 评论
MArtian (楼主) 1年前
开篇就写到了怎么配置统一过期时间,可能是 .env 文件有缓存,执行一下 php artisan cache:config 试试

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
MArtian
未填写
文章
46
粉丝
183
喜欢
383
收藏
637
排名:229
访问:4.2 万
私信
所有博文
文章归档
1 篇 2023 年 12 月 1 篇 2023 年 10 月 1 篇 2023 年 8 月 3 篇 2023 年 3 月 1 篇 2022 年 12 月 1 篇 2022 年 6 月 2 篇 2022 年 5 月 2 篇 2022 年 4 月 5 篇 2022 年 3 月 7 篇 2022 年 2 月 6 篇 2021 年 12 月 1 篇 2021 年 11 月 4 篇 2021 年 10 月 1 篇 2021 年 9 月 7 篇 2021 年 8 月 2 篇 2021 年 6 月 1 篇 2021 年 5 月
最新文章 最受欢迎
3个月前 Laravel Daily 日志权限问题 5个月前 一个有趣的锁问题 8个月前 里氏替换原则 1年前 如何管理需要拼接的缓存 Key 1年前 「责任链模式」栗子
54 懒加载、预加载、with()、load() 傻傻分不清楚? 44 聊聊 Interface 在 Laravel 开发中的使用 40 写出一份漂亮的简历 34 使用 Macro 让你的代码更简洁,更具有可读性 28 从 0 开始打造聊天室,搞定 Laravel 实时通信 —— 准备工作
博客标签
pusher
1
 websocket
1
 laravel-websocke
1
 laravel-websocket
1
 Laravel 核心学习
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消