Laravel Sanctum 生成的TOKEN时间竟然很长，会不会不安全

虽然可以设置一下有效期，但基本上都时间很长

有没有办法比如说，设置 60 分钟到期，但是刚好快到期的内分钟内操作，就自动更新 TOKEN 的有效期增加 60 分钟

官方虽然可以让你设置时间，但是感觉都是要设置很久，如果设置很短，操作没一会儿就被退出也不行，没有办法像 SESSION 那样，只要有在操作就不会过期

刚刚试了一下，
我在配置文件中定义 expiration 了，但是数据库中的 expires_at 竟然为 null 你们有谁碰到过没

看了一下源代码，自己在
‘access_token’ => $user->createToken(‘seller user’, [‘seller-user’], now()->addHours(2))->plainTextToken
指定第三个参数，就可以写入过期时间了，这点和手册里面写的通过配置文件修改是完全不一样的，而且英文手册也是这样写的，完了，这让我不敢用了，很没安全感

//自定义token是否过期的方法 Sanctum::authenticateAccessTokensUsing(function ($accessToken){ $expiration = config('sanctum.expiration', 120); $time = $accessToken->last_used_at??$accessToken->created_at; return $time->gt(now()->subMinutes($expiration)); });

讨论数量: 29

Imuyu

课程读者 870 声望

oauth 授权策略的刷新令牌，检测到 401 或者授权失效就用刷新令牌刷新，或者自己监测，token 还有十分钟就刷新，两种组合起来用

2年前评论

cccdz

课程读者 492 声望

我是每次請求都會去更新一下到期時間雖然性能比較差但是對於後台來說夠用了因為後台前後端分離了就用這個代替 session 了

Laravel

他底層是會每次都會更新使用時間我本來是想讓這兩個一起更新但是看他源碼融合不了就只能先更新到期時間然後它底層再去更新一次使用時間了
本來是想讓這兩個融合一起更新的

winter-ice

Laravel 7.x 译者 291 声望 / 搬砖 @ 某房产

定时任务每分钟调用

PersonalAccessToken::where('last_used_at', '<', now()->subHour())->delete();

laravel 会自动刷新 last_used_at, 这样就跟 session 机制一样了，使用就一直不过期，不使用就一小时过期

深蓝色

课程读者 78 声望

我在配置文件中定义 expiration 了，但是数据库中的 expires_at 竟然为 null 你们有谁碰到过没

config是不是缓存了

这种方法没法自动续期，我觉得还是我提供的方法合适

深蓝色（作者）（楼主）

@winter-ice 我试了清空一下不是，而且哦，我分析了一下他的代码，并没有调用这个配置项

我查看源码是调用了的

if ($expiration = config('sanctum.expiration')) {             $this->components->task(                 'Pruning tokens with expired expiration value based on configuration file',                 fn () => $model::where('created_at', '<', now()->subMinutes($expiration + ($hours * 60)))->delete()             );         } else {             $this->components->warn('Expiration value not specified in configuration file.');         }

@winter-ice 这个是清空的，不是创建的，不是这个原因

config里的就是用来清空的，创建得在createToken中传参

我在调用的时候 $user->createToken ('seller user', ['seller-user'], now ())->plainTextToken 注意看第三个参数，加了一下时间，数据库就有了，这明显是一个 BUG 啊，和手册说的并不一样

神的孩子丶都在跳舞

Laravel 9.x 译者 243 声望 / 平平无奇小码农 @ alon

可以在 AppServiceProvider 中自定义过期的方法，我们这边是这么做的

深蓝色（楼主）

你这个是实现什么功能，自动延长是吗

神的孩子丶都在跳舞（作者）

@深蓝色嗯,每次使用token,扩展包自己会更新最后使用时间,只需要自己判断一下上次的使用时间与当前时间间隔是否超过了你想要的过期时间就行了

@深蓝色 authenticateAccessTokensUsing()这个是扩展包预定义的可以让用户自定义验证是否过期的方法

@神的孩子丶都在跳舞你在创建TOKEN的时候，是在config中指定过期时间，还是在createToken中第三个参数指定，我发现按手册的方法并不行

@深蓝色创建的时候没有指定,我是利用他的最后使用时间与配置文件中的过期时间来做比较验证的

@神的孩子丶都在跳舞也就是说你的数据库中expires_at字段也是null吗

@深蓝色是的,expires_at是null。expires_at这个字段是用来创建token的时候指定一个具体的过期时间,和配置文件里的过期时间没有关系

expires_at 和配置文件里的 expiration 没有关系，你看下包里验证的规则就知道了 file

那配置文件中的expiration是用来做什么的，这样说不是和手册讲的不一样吗？难道我对手册上的描述理解有误啊

那数据库中的expires_at是怎么指定的？

@深蓝色配置中的用来对所有token指定过期时间,创建时指定是为了单独处理某个特殊的token

@神的孩子丶都在跳舞我在配置文件中指定了，但是expires_at仍然为null

@深蓝色配置文件中的expiration配了,expires_at并不会有值啊.只有创建时候指定才会有

@神的孩子丶都在跳舞你把图里的验证规则好好缕缕就知道了.这俩没直接关系,是分开验证的

MArtian

版主 3.8k 声望

不是，你是不是理解错了？ sanctum 颁发 token 的时候本身在库中就不会存储过期时间，过期时间是统一在 config/sanctum.php 文件中配置的。

你在文档哪里看到的可以自定义 token 有效期的？

这个是明白了

不过这个过期时间设置长了怕不安全，设置短了又怕操作一半要求验证，这个头大。

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

Laravel Sanctum 生成的TOKEN时间竟然很长，会不会不安全

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

Laravel Sanctum 生成的TOKEN时间竟然很长，会不会不安全

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录