大家都知道在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间,没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的,那么既然有刷新时间,问题就来了,麦讯网络分享一下项目使用到的方法:
<?php namespace App\Http\Middleware; use Auth; use Closure; use Tymon\JWTAuth\Exceptions\JWTException; use Tymon\JWTAuth\Http\Middleware\BaseMiddleware; use Tymon\JWTAuth\Exceptions\TokenExpiredException; use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException; class RefreshToken extends BaseMiddleware { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * * @throws \Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException * * @return mixed */ public function handle($request, Closure $next, $role='api') { // 检查此次请求中是否带有 token,如果没有则抛出异常。 $this->checkForToken($request); // 判断token是否在有效期内 try { if (auth($role)->payload()) { app('auth')->shouldUse($role); return $next($request); } } catch (JWTException $exception) { try{ $token = auth($role)->refresh(); // 使用一次性登录以保证此次请求的成功 auth($role)->onceUsingId( auth($role)->payload()->get('sub') ); //更新请求中的token $request->headers->set('Authorization','Bearer '.$token); } catch(JWTException $exception) { // 如果捕获到此异常,即代表 refresh 也过期了,用户无法刷新令牌,需要重新登录。 throw new UnauthorizedHttpException('jwt-auth', $exception->getMessage()); } } // 在响应头中返回新的 token return $this->setAuthenticationHeader($next($request), $token); } }