也许我使用了错误的关键字进行了搜索,但我从未发现有关以下情况的任何信息:
我有一个带有 JWT 身份验证的 API(Laravel + tymon/jwt-auth)和一个 PHP 应用程序,它应该查询受 JWT token 保护的 API。
如何确保应用程序始终经过身份验证?在阅读了很多关于 JWT auth 的教程和文章之后,我留下了这个想法:
refresh_ttl
环境。 refresh
使用额外的 API 请求(也许是基于 cron 的?)路由以防止 token 过期。还有 jwt-auth 的 refresh_ttl
我认为的问题。 我想知道为什么似乎没有关于这种情况的讨论/文章。
我非常欢迎有关该主题的任何帮助!
最佳答案
您不希望您的用户每次都登录,但您也不希望他们永远登录。
这是我的想法
我建议增加
refresh_ttl
至 30 天并保留 ttl
在一小时内。如果您使用的是 SPA 或重型 js 应用程序:
在您的 javascript 上,您可以进行 ajax 设置(或原型(prototype)或您的 javascript 框架用于 oop 的任何内容),并在获得 .
如果您只为您的应用程序使用通用页面刷新,请将您的 JWT 存储在一个 cookie 上,然后您的应用程序可以在需要时刷新它,并且不需要制作特殊的 js。 HTTPS 将负责安全性。
关于laravel - 永久授权 PHP 应用程序向 JWT auth 保护 API 发出请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40472329/