项目介绍
最近在做一个后台项目,目标是登录后无操作30分钟后自动过期,一直操作的情况下,过期时间一直刷新(目前不考虑每次操作修改对数据库的压力)token有效期检测
操作后自动刷新过期时间
管理员手动登出其他登录用户
单用户登录,二次登录作废上次登录token
token有效期检测
passport自带就有检测过期时间,这个用过都了解\
文件在League\OAuth2\Server\AuthorizationValidators\BearerTokenValidatorpublic function validateAuthorization(ServerRequestInterface $request)
{
.
.
.
try {
// Attempt to parse and validate the JWT
// 这里会根据token解析出过期时间
/**
* 内容为这个
* "exp" => Lcobucci\JWT\Claim\GreaterOrEqualsTo^ {#2944
* -name: "exp"
* -value: 1606462560
* }
**/
$token = (new Parser())->parse($jwt);
.
.
.
// Ensure access token hasn't expired
$data = new ValidationData();
$data->setCurrentTime(time());
// 这里验证token是否有效
if ($token->validate($data) === false) {
throw OAuthServerException::accessDenied('Access token is invalid');
}
// Check if token has been revoked
// 这样验证数据库中token是否已经被撤销,会进行一次查询
// 最后验证结束还是查询一次,把查询内容放到auth('api')->user()->token()中
if ($this->accessTokenRepository->isAccessTokenRevoked($token->getClaim('jti'))) {
throw OAuthServerException::accessDenied('Access token has been revoked');
}
.
.
.
}
操作后自动刷新过期时间
这个是目前遇到的问题,在数据库中可以看到oauth_access_tokens中,有 expires_at 字段,理所当然的,请求之后,修改这个过期时间// $this->loginUser为自定义的,相当于$request->user('api')
$this->loginUser->token()->expires_at = Carbon::now()->addMinutes(30);
$this->loginUser->token()->save();
实际上用该token请求还是没有问题,百思不得其解后,找到问题所在// Ensure access token hasn't expired
$data = new ValidationData();
$data->setCurrentTime(time());
// 这里验证token是否有效
if ($token->validate($data) === false) {
throw OAuthServerException::accessDenied('Access token is invalid');
}
这里只验证了token中存储的过期时间if ($this->accessTokenRepository->isAccessTokenRevoked($token->getClaim('jti'))) {
throw OAuthServerException::accessDenied('Access token has been revoked');
}
这里只验证了是否撤销(数据库 revoked 字段)
也就是说根本没有验证数据库的过期字段,再怎么修改过期时间也是无效的(因为只做存储查看作用,没实际验证)\
passport目前想要自己刷新过期时间,又不改变token的情况下,只能进行自定义一个中间件来解决了\
通过 $this->loginUser->token()->expires_at 来获取过期时间,然后自定义处理逻辑
管理员手动登出其他登录用户
这个就比较简单了DB::table('oauth_access_tokens')->where('user_id', $user->id)
->update([
'revoked' => 1
]);
直接作废该用户的所有 token 就完成了
单用户登录,二次登录作废上次登录token
这个和上面同理,通过 $this->loginUser->token()->getQueueableId() 获取当前登录用户数据库中对应的idDB::table('oauth_access_tokens')->where('user_id', $this->loginUser->id)
->where('id', '!=', $this->loginUser->token()->getQueueableId())
->update([
'revoked' => 1
]);
直接作废该用户的其他 token 就完成了
目前只能想到通过自定义中间件来处理刷新token有效时间来解决,如果有什么比较好的办法,欢迎讲解!