Laravel JWT-auth認証でのログアウトの問題

Question

私は jwt-auth を使用してAPIでRESTful認証リソースを作成しています。クライアントアプリがログインリソースを呼び出すと、ユーザーがログに記録され、現在のトークンを無効にする必要があるため、新しいトークンが生成されます。

ただし、現在のトークンがブラックリストに登録されている場合は、TokenBlacklistedExceptionがスローされます。

トークンがブラックリストに登録されているかどうかを確認するにはどうすればよいですか？または、ユーザーの「ログアウト」を正しく実装する方法は？ jwt-auth APIソースで見つけようとしましたが、getToken()->isBlacklisted()またはparseToken()->isBlacklisted()またはそれを実装するためのバリデーターが存在しません。

トークンが無効である場合は常にparseToken（）がTokenBlacklistedExceptionをスローするため、isBlacklistedメソッドは、トークンを無効にする前にトークンが有効かどうかを確認するための良い方法です。

情報：

次のコードは、ペイロードが無効かどうかを確認し、無効な場合はTokenBlacklistedExceptionをスローします。

if( false === \Tymon\JWTAuth\Blacklist::has( \Tymon\JWTAuth\Facades\JWTAuth::getPayload($token) ) ) { \Tymon\JWTAuth\Facades\JWTAuth::parseToken()->invalidate(); }

次のように確認する方法：

if(false ===\Tymon\JWTAuth\Facades\JWTAuth::parseToken()->isBlacklisted()) { // invalidate... }

Matthew Brown · Accepted Answer

クライアント側でセッションをログアウトしてバックエンドでトークンを無効にすると、セッションを破棄するだけで済みます。ブラックリストを使用する必要はありません。

クライアント側でトークンを技術的に破棄するだけで十分ですが、セッションハイジャックの場合は、バックエンドでトークンを無効にすることもお勧めします。

無効にする場合は、Laravelから応答を受け取った後、トークンを破棄する必要があります。

JWTAuth::invalidate(JWTAuth::getToken())):

次にangular side

function logout() { UserService.logout().$promise.then(function() { $cookieStore.remove('userToken'); // redirect or whatever }); }

JWT例外を処理する1つの方法は、laravelでEventServiceProviderを設定することです。これは、私のものです。

use Illuminate\Contracts\Events\Dispatcher as DispatcherContract; use Illuminate\Foundation\Support\Providers\EventServiceProvider as ServiceProvider; class EventServiceProvider extends ServiceProvider { /** * The event handler mappings for the application. * * @var array */ protected $listen = [ 'tymon.jwt.valid' => [ 'App\Events\JWTEvents@valid', ], 'tymon.jwt.user_not_found' => [ 'App\Events\JWTEvents@notFound' ], 'tymon.jwt.invalid' => [ 'App\Events\JWTEvents@invalid' ], 'tymon.jwt.expired' => [ 'App\Events\JWTEvents@expired' ], 'tymon.jwt.absent' => [ 'App\Events\JWTEvents@missing' ] ]; /** * Register any other events for your application. * * @param \Illuminate\Contracts\Events\Dispatcher $events * @return void */ public function boot(DispatcherContract $events) { parent::boot($events); // } }

それをapp.phpに登録します。

次に、各イベントのメソッドを使用してJWTEventsクラスを実装します。

class JWTEvents extends Event { // Other methods public function invalid() { return response()->json(['error' => 'Token Invalid'], 401); die(); } }

注意すべき重要な点は、JWT例外をキャッチし、特定のステータスコードでjson応答を返すことです。

angular側では、httpInterceptorクラスに、これらのhttpステータスコードをキャッチしています。

angular.module('ngApp') .factory('httpInterceptor', function($q, $log, $cookieStore, $rootScope, Response) { return { request: function(config) { // Where you add the token to each request }, responseError: function(response) { // Check if response code is 401 (or whatever) if (response.status === 401) { // Do something to log user out & redirect. $rootScope.$broadcast('invalid.token'); } } } });

madone · Answer

私が理解している限り、誰も強調しなかったことの1つは、トークンを更新するために使用される「jwt.refresh」（別名RefreshTokenMiddleware）です。

これで、ログアウトアクションを実行したい人が、コントローラーメソッドを次のようなルートでラップした場合

Route::group(['middleware' => ['jwt.auth', 'jwt.refresh']], function()...

確かに、ログアウト応答で新しいトークンを取得するため、クライアントは新しい要求を実行できます。

これがこの問題の明確化に役立つことを願っています。

usama muneer · Answer

これは私のために働きます。

public function logout( Request $request ) { $token = $request->header( 'Authorization' ); try { JWTAuth::parseToken()->invalidate( $token ); return response()->json( [ 'error' => false, 'message' => trans( 'auth.logged_out' ) ] ); } catch ( TokenExpiredException $exception ) { return response()->json( [ 'error' => true, 'message' => trans( 'auth.token.expired' ) ], 401 ); } catch ( TokenInvalidException $exception ) { return response()->json( [ 'error' => true, 'message' => trans( 'auth.token.invalid' ) ], 401 ); } catch ( JWTException $exception ) { return response()->json( [ 'error' => true, 'message' => trans( 'auth.token.missing' ) ], 500 ); } }