已过期JWT令牌 - 如何刷新令牌

Question

我正在开发移动应用程序，并且我意识到我的令牌的持续时间有限。我使用的是Symfony的服务器，其中有一个功能，刷新我的令牌：

/** 
* @Route("/api/refresh", name="api_refresh") 
*/ 
public function refreshTokenAction(Request $request) 
{ 
    if(!$request->headers->has('Authorization')) { 
     return; 
    } 

    $extractor = new AuthorizationHeaderTokenExtractor(
     'Bearer', 
     'Authorization' 
    ); 

    $token = $extractor->extract($request); 

    $encoder = $this->get('lexik_jwt_authentication.encoder'); 

    $data = $encoder->decode($token); 

    if(!$data){ 
     return; 
    } 

    $username = $data['mail']; 

    $user = $this->getDoctrine()->getRepository('AppBundle:Benevole') 
     ->findOneBy(['mail' => $username]); 

    $token = $this->get('lexik_jwt_authentication.encoder') 
     ->encode(['mail' => $user->getMail()]); 

    // Return genereted tocken 
    return new JsonResponse(['token' => $token]); 

} 

我用这台服务器在AngularJS应用程序，其中我打电话给我的服务器在这样：

var refreshToken = function(idPatient){ 
    var token = window.localStorage.getItem('token'); // current valid token 
    return $http({ 
      method : 'GET', 
      url  : url + '/refresh', 
      headers : {Authorization : 'Bearer ' + token}, 
     }).then(function(result) { 
     console.log(result.data); 
     return result.data; 
    }); 
}; 

当我测试我的函数刷新令牌时，单击一个按钮，它会起作用，令牌被刷新。

我想知道如何自动刷新我的令牌，这样用户就不必每次都断开连接，因为它是相当有限制的^^ 我应该每次检查我的令牌吗？我是否应该为应用程序提供几个条件以便每次都能找到它？

Answer 1

您应该只接受用于更新的有效（和未到期的）令牌。假设在exp索赔中指出的到期日期之前刷新令牌是客户的责任。

您可以调用该函数来定期刷新令牌，而该页面中的使用是活动的。

---

为了避免令牌被无限期地刷新，你可以，例如，保持令牌茶点的轨道通过添加两个声称您的令牌（索赔名字是由你）：

• refreshLimit：表示令牌可刷新的次数。
• refreshCount：表示令牌刷新了多少次。

如果满足下列条件为真因此，只有刷新令牌：

• 令牌没有过期（exp >= now）。
• 令牌刷新次数少于令牌刷新次数（refreshCount < refreshLimit）。

并刷新令牌时：

• 更新到期日（exp = now + some-amount-of-time）。
• 递增令牌刷新次数（refreshCount++）。

一旦令牌被签名并且签名在服务器端被验证，令牌的内容就不会被客户端篡改。