一開始不太理解作者的設計思想,看了很多issue之後,慢慢明白jwt-refresh如何使用。
建一個路由,比如“auth/refresh-token” ,可以指向某個方法,也可以直接寫個匿名函數。
$app->post('auth/refresh-token', ['middleware' => 'jwt.refresh', function() {
try {
$old_token = JWTAuth::getToken();
$token = JWTAuth::refresh($old_token);
JWTAuth::invalidate($old_token);
} catch (TokenExpiredException $e) {
throw new AuthException(
Constants::get('error_code.refresh_token_expired'),
trans('errors.refresh_token_expired'), $e);
} catch (JWTException $e) {
throw new AuthException(
Constants::get('error_code.token_invalid'),
trans('errors.token_invalid'), $e);
}
return response()->json(compact('token'));
}]);
當token失效之後,訪問這個地址,把舊token帶上,會得到一個新的token。自己將新token保存,訪問api時使用新token。如此反覆。
雖然token的有效很短,默認是一個小時,但是刷新時間長達兩個星期,還算可以,總比重複登錄來得方便。
客戶端登錄之後只要保存token,減少了被獲取用戶名密碼的風險。
這個地方有個bug,就是舊token雖然不能再使用,但是卻可以用來獲取新token。這個問題在0.6版中被修復。如果着急這個問題可以使用0.6版。
一開始以爲一個token刷新之後可以接着用,原來是換個新token,不知道接着用的思想是否可行。