我正在使用 Laravel 5.2 和 tymondesigns/jwt-auth .
如果用户在没有注销的情况下再次登录,是否可以将旧 token 列入黑名单?我很好奇旧 token 的安全性。
关于如何改进移动设备上的“始终登录”的任何建议,因为我目前使用 Laravel 作为 API。
我目前的配置是:ttl = 1 小时 & refresh_ttl = 2 周
最佳答案
您可以使用 jwt.refresh
中间件,它将新 token 作为 header 发回作为响应。如果您启用了黑名单,旧 token 将立即被列入黑名单。只包括 jwt.refresh
在您的登录路由上,然后确保捕获响应 header 并更新您的本地 key 。然后你可以制作你的ttl
和 refresh_ttl
无限制(即 60*60*24*365*10
)
关于api - 使用 Laravel JWT 重新验证时将旧 token 列入黑名单,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37059372/