那些遇到过的问题

小编Lar*_*ars的帖子

永久授权PHP应用程序向JWT授权的受保护API发出请求

也许我用错误的关键字搜索但我从未发现任何有关以下情况的信息:

我有一个带有JWT auth的API(Laravel + tymon/jwt-auth)和一个应该查询受JWT令牌保护的API的PHP应用程序.

我怎样才能确保应用程序始终是经过身份验证的?在阅读了很多关于JWT auth的教程和文章后,我留下了这些想法:

  • 使用永不过期的令牌,永久存储在消费应用程序中.如果我理解正确,这可能是一个安全问题,因为有权访问该令牌的人可以访问api,只要他愿意?但我不明白为什么如果令牌被盗,这个令牌不应该被无效?
  • 刷新每个请求上的令牌并使旧请求无效.这意味着消费应用程序必须在其存储中的每个请求之后更新令牌(我想这将是最有意义的数据库).在我看来,这产生了很多开销,并没有阻止jwt-auth的refresh_ttl设置.
  • 使用额外的API请求(基于cron的perhabs?)到refresh路由以防止令牌过期.refresh_ttl我认为还有jwt-auth的问题.

我想知道为什么似乎没有关于这种情况的讨论/文章.关于这个问题的任何帮助我都非常欢迎!

authentication api authorization jwt laravel

Lar*_*ars
2016 11-08
8
推荐指数
1
解决办法
256
查看次数

标签 统计

api ×1

authentication ×1

authorization ×1

jwt ×1

laravel ×1