JWT 刷新操作写在 middleware ('auth:API') 是否是 bug？请管理管处理

无论是第三本教材还是 jwt的案例代码，都是把刷新操作放在了 middleware(‘auth:api’)中，
如：

    public function __construct()
    {
        $this->middleware('auth:api', ['except' => ['login']]);
    }

    public function refresh()
    {
        return $this->respondWithToken(auth()->refresh());
    }

    protected function respondWithToken($token)
    {
        return response()->json([
            'access_token' => $token,
            'token_type' => 'bearer',
            'expires_in' => auth()->factory()->getTTL() * 60
        ]);
    }

那么问题来了如果失效的 JWT_TTL 是 1分钟而JWT_REFRESH_TTL是10分钟，

在2分钟后 token 肯定失效了，但是根JWT_REFRESH_TTL10分钟我们可以请求刷新一个新的token，但是 refresh 方法写在了登陆后的操作中，那么本身失效了，无法登陆成功，又怎么才能去请求一个新的token呢？

各位经过好几遍的测试确实真的不行在middleware(‘auth:api’)中的refresh方法，只要一分钟时间到了，肯定请求不出新的token，只有在不是登陆后的外面进行换取token才可以！！！！！！！

讨论数量: 7

liuhaiqiang999

79 声望

:joy: 求解答

4年前评论

justlovelmn

课程读者 21 声望

是的，所以你要在token生效时间内去刷新

liuhaiqiang999 （楼主）

我看写的是在JWT_REFRESH_TTL 的时间内去刷新即可，哪怕是JWT_TTL 的失效了都可以换取一个新的token 所以我感觉你的这个说法不正确

justlovelmn （作者）

@liuhaiqiang999 举个例子，你登录网易云APP听歌，你每天听，他就每天帮你续费刷新你的token,你突然间有一段时间不去听了，他就过期了，你就要重新登录，理解了吗

在实际的发开中，比如小程序，用的手机验证码登陆，JWT_TTL = 60，如果用户在 60 分钟内没有操作，也就没有去刷新个新的 token 出来，那么是不是要重新登陆？

zxdstyle

版主 2.0k 声望

刷新 token 的用途是在 token 即将过期之前换取一个新的token，以实现无痛刷新。如果 token 已经过期就不存在刷新 token 的问题，应该是重新登录获取 token 了。理解这个场景再去设置相应的参数自然就明白了。

zxdstyle （作者）

JWT_REFRESH_TTL 含义：比如说 JWT_TTL 是1分钟，JWT_REFRESH_TTL 是10分钟，那么 1分钟内你可以凭旧token获取新token，循环10分钟之后就不能继续再无痛刷新了，必须重新登录。

你可以看看这篇文章：博客：JWT 完整使用详解

但是我自己测试的代码在1分钟之后的2分钟去刷新后得到了一个正确的token 当然代码写在了auth:api 中间件外，我又结合第三本的教材来看，这个若是超过了1分钟，但是还是在10分钟内的话，还是可以换一个新的token的啊

file @zxdstyle 您看下

他这边描述有点含糊，正常应该是过期前换取新的token，当然还有一个为并发准备的宽限时间，你可以看看我刚刚发的那个文章。

@zxdstyle 实在不好意思还是要请教下这个文章下面关于时间的我看了，那么有个问题哈，

file 然后你可以一直循环获取，直到总时间超过 20160 分钟，不能再获取。请问这句话是怎么理解啊？比如50分钟刷了次 40分钟刷了次是不是总时间用了90分钟》

第一个问题取决于你的 JWT_REFRESH_TTL 的值，如果你再 JWT_REFRESH_TTL 时间内请求是可以换取新 token的

第二个问题简单用个案例说明：

token 一分钟过期，JWT_REFRESH_TTL 为10分钟，那么你可以换 10次 token，第 11次的时候总共已经超过了10分钟，所以换不了token了。

这个案例的前提是一直不断请求。

如果 JWT_REFRESH_TTL 为 10 分钟，第一分钟请求了一次，然后过了10分钟再请求第二次同样也是换不了token的

liuhaiqiang999 （作者）（楼主）

@zxdstyle 哥按照刚刚的意思第一个问题的话 JWT_TTL =60的话我没有在60分钟内操作程序，那么肯定没有在60分钟内刷新token，那么按照您的意思即便是在JWT_REFRESH_TTL 时间内，也是刷新不出来的把，必须还是在60分钟之内刷新才是OK的把？

@zxdstyle 第二个问题我能懂了，那么就是第一个问题啊郁闷啊！！！

其实是同一个问题啊，在 JWT_REFRESH_TTL 时间内就能换 token 啊

@zxdstyle ？？？在刷新的时间内即便是 token过期了也能换新的了？

是的

@zxdstyle 又蒙圈了，这个在jwt_ttl 规定的比如 10分钟内，我11分去操作肯定过期了吧，这个过期了还能去刷新出新的kltoken?

file

pigzzz

Laravel 8.x 译者 767 声望 / 搬砖 @ 工地

用户登录态失效有两种情况，这也是token为什么有两种过期时间 JWT_TTL和JWT_REFRESH_TTL

JWT_TTL是代表当前token的失效时间，在这个时间之内你的登录态是正常的，这个时间到了，你可以用旧token去换新token

JWT_REFRESH_TTL 是代表token的刷新上限时间，在这个时间内，你可以正常刷新token，举个例子，你 JWT_TTL定义为120（2个小时），JWT_REFRESH_TTL定义为1440（24个小时），那么24个小时之内你可以最少需要换1440/120-1次token，这个时间到了那就需要重新登录了，

无痛刷新有两种方案，一种是教程的，通过前端的过期时间判断当前token是否失效，然后去主动请求刷新token的接口，另一种就是通过中间件先判断登录态，根据抛出的异常去决定是刷新token还是重新登录，两种方案各有利弊，看需求取舍

如果jwt_ttl的时间是60 我在60分钟内忘记刷新，那么肯定token过期了，所以我只能通过重新登陆？

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

JWT 刷新操作写在 middleware ('auth:API') 是否是 bug？请管理管处理

各位经过好几遍的测试确实真的不行在middleware(‘auth:api’)中的refresh方法，只要一分钟时间到了，肯定请求不出新的token，只有在不是登陆后的外面进行换取token才可以！！！！！！！

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

JWT 刷新操作写在 middleware ('auth:API') 是否是 bug？ 请管理管处理

各位 经过好几遍的测试 确实真的不行 在middleware(‘auth:api’)中的refresh方法，只要一分钟时间到了，肯定请求不出新的token，只有在不是登陆后的外面进行换取token才可以！！！！！！！

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录

JWT 刷新操作写在 middleware ('auth:API') 是否是 bug？请管理管处理

各位经过好几遍的测试确实真的不行在middleware(‘auth:api’)中的refresh方法，只要一分钟时间到了，肯定请求不出新的token，只有在不是登陆后的外面进行换取token才可以！！！！！！！