Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

Laravel中前后端分离,调用API认证,如何修改 Passport Personal Access Token 过期时间?

问答 / 2 / 18 / 创建于 2年前 / 更新于 2年前

1. laravel 版本是 Laravel6.x, 认证方式是 Passport#

2. 请问 Laravel 中前后端分离,调用 API 认证,如何修改 Passport Personal Access Token 过期时间#

class AppServiceProvider extends ServiceProvider
{

    /**
     * Bootstrap any application services.
     *
     * @return void
     */
    public function boot()
    {
        //登录2小时后过期
        $this->app->get(AuthorizationServer::class)
            ->enableGrantType(
                new PersonalAccessGrant(),
                new \DateInterval('PT2H')
            );
    }
}
$user = Auth::guard('web_audit')->user();
$tokenResult = $user->createToken('Personal Access Token', 'user');

3. 期待结果:希望能够在任意 api 接口调用后的 2 小时未操作后,认证再过期。#

4. 实际结果:初次登录后,只要两小时后就会认证失效。#

Partrick
课程读者 8 声望
暂无个人描述~
《L03 构架 API 服务器》
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
《L01 基础入门》
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
讨论数量: 18
排序:
时间 投票
小学毕业生
课程读者 177 声望

你用的是哪一块的认证呢?如果是 passport 的话,用的是 password 方式的,修改 oauth_access_tokens 表的 expires_at 

$token = $user->token();
$token->update(['expires_at' => '两小时后']);
2年前 评论
Partrick (楼主) 2年前

认证是Passport

$user = Auth::guard('web_audit')->user();
$tokenResult = $user->createToken('Personal Access Token', 'user');
Partrick (楼主) 2年前

这个是可以更新成功的,但是不生效。。没有用到expires_at。还是这个方式影响的

        $this->app->get(AuthorizationServer::class)
            ->enableGrantType(
                new PersonalAccessGrant(),
                new \DateInterval('PT2H')
            );
Silly-dog
33 声望

得看你使用了那种认证方式

2年前 评论
Partrick (楼主) 2年前
认证是Passport
陈先生
课程读者 650 声望 / PHP_EOL @ NaN

不要尝试去变更 Token 的过期时间,这不是一个合理的行为。

正确的处理方式应该是销毁旧的 token,重新签发一个新的 Token。

例如在 Token 过期的半分钟内如果发了请求,就会销毁当前正在使用的 Token,同时签发新的 Token。

如果使用 Token 来做鉴权,建议参照 JWT 中对于 Token 的规范。

2年前 评论
Imuyu
课程读者 872 声望

正确做法是监听 401 并用刷新令牌刷新 token,如果刷新令牌也失效,那就重新登录,刷新令牌一般比 token 拥有更长的有效期,可以做到在适当的时间内永不退出

2年前 评论
Partrick (楼主) 2年前
请问如何刷新令牌?调用接口重新生成token吗?
Partrick (楼主) 2年前
那应该还是不能实现当接口调用后,两个小时过期
Imuyu (作者) 2年前
@Partrick 为啥要俩小时失效呢?如果非要达到这个目的,可以写一个中间件,每次更新有效期,如一楼
Partrick (楼主) 2年前

@Imuyu 登录后,在没有操作之后就要失效。但是在任何一次操作后,都要在那个基础上往后两小时过期。。我用了一楼的方案可以更新expires_at的时间,但是过期后还是能够调用的

Laravel

Partrick (楼主) 2年前

@Imuyu 可以使用撤销令牌的方式实现这样的效果吗?

$tokenRepository = app(TokenRepository::class);
// 撤销一个访问令牌...
$tokenRepository->revokeAccessToken($tokenId);
Partrick
课程读者 8 声望

可以通过中间件实现

        $token = $user->token();
        $tokenRepository = app(TokenRepository::class);
        if (Carbon::now()->gt($token->expires_at)){
            $tokenRepository->revokeAccessToken($token->id);
        }
        $token->update(['expires_at' => Carbon::now()->addMinutes(1)]);
        $token->save();
2年前 评论
MArtian
版主 3.8k 声望

博客:Laravel Sanctum 如何自定义每个 token 的过期时间 看这个

2年前 评论
Partrick (楼主) 2年前
当前项目使用的是Passport,寻求的方向是在此基础上进行改修。而不是导入外部包呢。非常感谢您的回答
deatil
见习助教 770 声望

你这种只能在服务器存 token 的过期时间,每次请求过来判断有没有过期,不能用 jwt 自带的过期时间。 核心就是中心化延长过期时间

2年前 评论
xini2603
54 声望

这种在服务刷新过期时间不是很好吧,并发量大了还是有影响的,前后端分离的还是前端直接在请求时效验是否 2 小时内有操作没有,超 2 小时直接发起注销动作,让服务器上的失效,
服务器上效验比较适合前后一体的非 token 认证。如 cookie 认证等

2年前 评论
Partrick (楼主) 2年前
所以我在想,是不是一个请求在5min中内有请求的时候再更新expires_at的时间,某种程度上降低并发带来的影响。同时也有考虑到在前台进行校验,但是考虑到安全性,可能更加偏向于在后端验证

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
Partrick 8 声望
TA 的博客
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码 | 方长科技协力运营

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消