JWT 的过期和刷新机制是否有脱裤子放屁的嫌疑（安全嫌疑）

分享创造 / 3 / 12 / 创建于 2年前 / 更新于 2年前

jwt-auth 有两个重要的参数，可以在 .env 中进行设置

JWT_TTL 生成的 token 在多少分钟后过期，默认 60 分钟
JWT_REFRESH_TTL 生成的 token，在多少分钟内，可以刷新获取一个新 token，默认 20160 分钟，14 天。
JWT_REFRESH_TTL即然是14天，也就是JWT_TTL设置为60分钟也没任何意义啊，只要TOKEN泄漏了，他一样可以不断请求刷新接口来获得新的TOKEN

那这个JWT_TTL就没意义了

另外，那个官方自带的Sanctum API我感觉也不安全，TOKEN一颁发有效时间就非常久，虽然可以设置有效时间，但是有效时间不能像SESSION那样自动延长，而是会被回收的时候突然间回收，操作一半就掉线了

课程读者 78 声望

大家好才是真的好

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

推荐文章：

更多推荐...

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 25 / 16 |

如何打造令后端面试官印象深刻的简历？ 14 / 10 |

花了四个月打磨的 Laravel Plus 开源 30 / 97 |

冯老师的困惑 —— 一个跑了两年的 BUG 19 / 16 |

在laravel下实现全双工的websocket开发 21 / 8 |

无需修改任何代码和扩展将你的Laravel项目性能提高20倍 101 / 98 |

讨论数量: 12

deatil

见习助教 763 声望

是这样的。不过，大多的用的就是你说的这种。其实，该是需要区分成accesstoken和刷新token的，刷新token只做刷新获取权限token就行了，不要合在一起。也可以认为你说的这种是有漏洞的

2年前评论

ononl

201 声望

那你怎么把用户踢下线？比如勾选14天内登录有效。

2年前评论

臭鼬

删了他的token

抄你码科技有限公司

课程读者 161 声望 / CV专员在静静的抄你码 @ null

脱裤子放屁。。。然后黑名单存redis

2年前评论

Larva

57 声望

这种方式是不标准的，本身就有漏洞

2年前评论

MArtian

版主 3.8k 声望

用 jwt 就不要考虑什么安全性了，服务器不换 secret 是没办法销毁已经发放的 token 的。

2年前评论

zjason

26 声望

你可以用redis自己搞一套，因为jwt那个包有很多问题

2年前评论

sinmu

课程读者 88 声望

像jwt这种类似的认证包，有什么推荐的么，我使用 sanctum 的时候也有这种感觉。

创建的 token 前面有个数字，很诡异的感觉。类似于这种1|xxxxxxxx

2年前评论

抄你码科技有限公司

能跑就行了。。担心那么多干啥。。文档上写的踢token就是加黑名单到redis，到期了key就自动删了

深蓝色

课程读者 78 声望

看来不止我一个人怀疑这个方式不安全，看来核心的业务不能用前后端分离，比如后台

2年前评论

yyy123456

课程读者 337 声望

自动延长可以用程序实现，比如发token时记录一个时间，然后存redis，然后，登录时对比，可以写代码提醒前端调接口更换

2年前评论

臭鼬

见习助教 182 声望

我一直感觉就是脱裤放屁，心里安慰，这是给爬虫的找事

2年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助