使用 JWT 令牌使用 AdonisJS 注销
Posted
技术标签:
【中文标题】使用 JWT 令牌使用 AdonisJS 注销【英文标题】:Logout with AdonisJS using JWT token 【发布时间】:2020-01-28 13:43:19 【问题描述】:我有一个运行良好的登录方法,它为用户生成一个 JWT 令牌以在 AdonisJS 上进行身份验证。但是,如果用户单击“注销”按钮,或者即使我想自己手动阻止它,我将来如何阻止这个令牌?
我知道我可以从客户端将其删除,但问题是令牌仍然处于活动状态(例如,如果其他人以某种方式窃取此令牌,他们仍然可以访问 API)。
知道如何解决这个问题吗?谢谢
【问题讨论】:
【参考方案1】:您应该在AdonisJs 中使用撤销令牌
jwt 和 api 方案公开了使用 auth 接口撤销令牌的方法。
对于 jwt,只撤销刷新令牌,因为实际令牌是 从未保存在数据库中
revokeTokens(tokens, delete = false)
以下方法将通过在令牌表中设置标志来撤销令牌:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken])
如果 true 作为第二个参数传递,而不是设置 is_revoked 数据库标志,相关行将从数据库中删除:
const refreshToken = '' // get it from user
await auth
.authenticator('jwt')
.revokeTokens([refreshToken], true)
要撤销所有令牌,请不带任何参数调用 revokeTokens:
await auth
.authenticator('jwt')
.revokeTokens()
撤销当前登录用户的api令牌时,可以从请求头中获取值:
// for currently loggedin user
const apiToken = auth.getAuthHeader()
await auth
.authenticator('api')
.revokeTokens([apiToken])
revokeTokensForUser(user, tokens, delete = false)
此方法与 revokeTokens 方法的工作方式相同,但您可以自己指定用户:
const user = await User.find(1)
await auth
.authenticator('jwt')
.revokeTokensForUser(user)
【讨论】:
以上是关于使用 JWT 令牌使用 AdonisJS 注销的主要内容,如果未能解决你的问题,请参考以下文章