Laravel中前后端分离，调用API认证，如何修改 Passport Personal Access Token 过期时间？

1. laravel版本是Laravel6.x,认证方式是Passport

2. 请问Laravel中前后端分离，调用API认证，如何修改 Passport Personal Access Token 过期时间

class AppServiceProvider extends ServiceProvider
{

    /**
     * Bootstrap any application services.
     *
     * @return void
     */
    public function boot()
    {
        //登录2小时后过期
        $this->app->get(AuthorizationServer::class)
            ->enableGrantType(
                new PersonalAccessGrant(),
                new \DateInterval('PT2H')
            );
    }
}

$user = Auth::guard('web_audit')->user();
$tokenResult = $user->createToken('Personal Access Token', 'user');

3. 期待结果：希望能够在任意api接口调用后的2小时未操作后，认证再过期。

4. 实际结果：初次登录后，只要两小时后就会认证失效。

Partrick

课程读者 8 声望

暂无个人描述~

0 人点赞

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

讨论数量: 18

小学毕业生

课程读者 176 声望

你用的是哪一块的认证呢? 如果是 passport 的话, 用的是 password 方式的, 修改 oauth_access_tokens 表的 expires_at

$token = $user->token();
$token->update(['expires_at' => '两小时后']);

1年前评论

Partrick （楼主）

认证是Passport

$user = Auth::guard('web_audit')->user();
$tokenResult = $user->createToken('Personal Access Token', 'user');

Partrick （楼主）

这个是可以更新成功的，但是不生效。。没有用到expires_at。还是这个方式影响的

        $this->app->get(AuthorizationServer::class)
            ->enableGrantType(
                new PersonalAccessGrant(),
                new \DateInterval('PT2H')
            );

Silly-dog

33 声望

得看你使用了那种认证方式

1年前评论

Partrick （楼主）

认证是Passport

陈先生

课程读者 650 声望 / PHP_EOL @ NaN

不要尝试去变更 Token 的过期时间，这不是一个合理的行为。

正确的处理方式应该是销毁旧的 token，重新签发一个新的 Token。

例如在 Token 过期的半分钟内如果发了请求，就会销毁当前正在使用的 Token，同时签发新的 Token。

如果使用 Token 来做鉴权，建议参照 JWT 中对于 Token 的规范。

1年前评论

Imuyu

课程读者 861 声望

正确做法是监听401并用刷新令牌刷新token，如果刷新令牌也失效，那就重新登录，刷新令牌一般比token拥有更长的有效期，可以做到在适当的时间内永不退出

1年前评论

Partrick （楼主）

请问如何刷新令牌？调用接口重新生成token吗？

Partrick （楼主）

那应该还是不能实现当接口调用后，两个小时过期

Imuyu （作者）

@Partrick 为啥要俩小时失效呢？如果非要达到这个目的，可以写一个中间件，每次更新有效期，如一楼

Partrick （楼主）

@Imuyu 登录后，在没有操作之后就要失效。但是在任何一次操作后，都要在那个基础上往后两小时过期。。我用了一楼的方案可以更新expires_at的时间，但是过期后还是能够调用的

Laravel

Partrick （楼主）

@Imuyu 可以使用撤销令牌的方式实现这样的效果吗？

$tokenRepository = app(TokenRepository::class);
// 撤销一个访问令牌...
$tokenRepository->revokeAccessToken($tokenId);

Partrick

课程读者 8 声望

可以通过中间件实现

        $token = $user->token();
        $tokenRepository = app(TokenRepository::class);
        if (Carbon::now()->gt($token->expires_at)){
            $tokenRepository->revokeAccessToken($token->id);
        }
        $token->update(['expires_at' => Carbon::now()->addMinutes(1)]);
        $token->save();

1年前评论

MArtian

版主 3.8k 声望

博客：Laravel Sanctum 如何自定义每个 token 的过期时间看这个

1年前评论

Partrick （楼主）

当前项目使用的是Passport，寻求的方向是在此基础上进行改修。而不是导入外部包呢。非常感谢您的回答

deatil

见习助教 762 声望

你这种只能在服务器存token的过期时间，每次请求过来判断有没有过期，不能用jwt自带的过期时间。核心就是中心化延长过期时间

1年前评论

xini2603

54 声望

这种在服务刷新过期时间不是很好吧，并发量大了还是有影响的，前后端分离的还是前端直接在请求时效验是否2小时内有操作没有，超2小时直接发起注销动作，让服务器上的失效，
服务器上效验比较适合前后一体的非token认证。如cookie认证等

1年前评论

Partrick （楼主）

所以我在想，是不是一个请求在5min中内有请求的时候再更新expires_at的时间，某种程度上降低并发带来的影响。同时也有考虑到在前台进行校验，但是考虑到安全性，可能更加偏向于在后端验证

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

Laravel中前后端分离，调用API认证，如何修改 Passport Personal Access Token 过期时间？

1. laravel版本是Laravel6.x,认证方式是Passport

2. 请问Laravel中前后端分离，调用API认证，如何修改 Passport Personal Access Token 过期时间

3. 期待结果：希望能够在任意api接口调用后的2小时未操作后，认证再过期。

4. 实际结果：初次登录后，只要两小时后就会认证失效。

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

Laravel中前后端分离，调用API认证，如何修改 Passport Personal Access Token 过期时间？

1. laravel版本是Laravel6.x,认证方式是Passport

2. 请问Laravel中前后端分离，调用API认证，如何修改 Passport Personal Access Token 过期时间

3. 期待结果：希望能够在任意api接口调用后的2小时未操作后，认证再过期。

4. 实际结果：初次登录后，只要两小时后就会认证失效。

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录