iachievedream / blog-laravel-jwt Goto Github PK

     * Get the identifier that will be stored in the subject claim of the JWT.
     * @return mixed
    public function getJWTIdentifier()
    {
        return $this->getKey();
    }

     * Return a key value array, containing any custom claims to be added to the JWT.
     * @return array
    public function getJWTCustomClaims()
    {
        return [];
    }

// Generate a token for the user if the credentials are valid
$token = auth()->attempt($credentials);

// Get the token
$token = auth()->login($user);

你能夠直接在 JWT 中存放資料，
而不用額外呼叫資料庫。
這句話完全看不懂，
我理解是把jwt的資訊存入資料庫內做Token的認證，
如果比對資訊不從資料庫來，
總不可能是中間伺服器發送那邊傳過來，
然後做對照吧!

微服務架構下，
我們可能將服務分散在不同的伺服器上，
JWT的token只要完成一次驗證，
取得認證令牌後，
就可以讓使用者在不同的伺服器上存取資源，
卻不需要不斷做身份驗證。

為何可以不了解原因。

		$createUser = User::create([
			'name' => $request->name,
        ]);

        return User::create([
            'name' => $data['name'],
        ]);

 public function handle($request, Closure $next)
    {
        // 检查此次请求中是否带有 token，如果没有则抛出异常。 
        $this->checkForToken($request);

       // 使用 try 包裹，以捕捉 token 过期所抛出的 TokenExpiredException  异常
        try {
            // 检测用户的登录状态，如果正常则通过
            if ($this->auth->parseToken()->authenticate()) {
                return $next($request);
            }
            throw new UnauthorizedHttpException('jwt-auth', '未登录');
        } catch (TokenExpiredException $exception) {
          // 此处捕获到了 token 过期所抛出的 TokenExpiredException 异常，我们在这里需要做的是刷新该用户的 token 并将它添加到响应头中
            try {
                // 刷新用户的 token
                $token = $this->auth->refresh();
               // 使用一次性登录以保证此次请求的成功
                Auth::guard('api')->onceUsingId($this->auth->manager()->getPayloadFactory()->buildClaimsCollection()->toPlainArray()['sub']);
            } catch (JWTException $exception) {
               // 如果捕获到此异常，即代表 refresh 也过期了，用户无法刷新令牌，需要重新登录。
                throw new UnauthorizedHttpException('jwt-auth', $exception->getMessage());
            }
        }

  } catch (TokenExpiredException $e) {
               try {
                   sleep(rand(1,5)/100);
                   $newToken = JWTAuth::refresh($token);
                   $request->headers->set('Authorization','Bearer '.$newToken); // 给当前的请求设置性的token,以备在本次请求中需要调用用户信息
                   // 将旧token存储在redis中,30秒内再次请求是有效的
                   Redis::setex('token_blacklist:'.$token,30,$newToken);
               } catch (JWTException $e) {
                   // 在黑名单的有效期,放行
                   if($newToken = Redis::get('token_blacklist:'.$token)){
                       $request->headers->set('Authorization','Bearer '.$newToken); // 给当前的请求设置性的token,以备在本次请求中需要调用用户信息
                       return $next($request);
                   }
                   // 过期用户
                   return response()->json([
                       'code' => '2',
                       'msg' => '账号信息过期了，请重新登录',
                   ]);
               }

public function tokenValidator(&$request,$jwt){
        #检测request中header头是否带了token
        if(is_null($token = \request() ->header('authorization'))){
            $this->response(400,'Authorization Failed，未携带Authorization');
        }
        #提取token中用户数据
        try{
            $user = $jwt->parseToken()->toUser()->toArray();
            if(! $user){
                $this->response(200,'用户不存在','');
            }
        }catch (TokenExpiredException $exception){
            #异常处理 token过有效期,进行刷新
            try{
                $token = $jwt->refresh();
                $access_token = 'Bearer'.$token;
                $request->headers->set('Authorization',$access_token);
            }catch(JWTException $exception){
                #refresh 也过期,重新登录
                $this->response(400,'Authorization过期，重新登录');
            }
        }
    }