webman-jwt icon indicating copy to clipboard operation
webman-jwt copied to clipboard
verified publisher icon Tinywan

关于JWT验证的问题

Open awinds opened this issue 4 months ago • 2 comments

1、用户在Authorization传入Token的时候一盘在中间件验证,如何传入access_token,一般可使用 JWTToken::getCurrentId() 来获取并验证是否有效,或者有没有更简单的方法?

2、用户在Authorization传入refresh_token的时候如何验证,这个时候好像通过JWTToken::getCurrentId()获取不到内容并报错,这个时候能否增加一个方法来判断传入的是access_token 还是 refresh_token? 并增加验证 refresh_token 的方法。

3、refresh_token一般时间比较长,能否可以传入或读取token里面的特殊唯一码来让用户进行二次判断。

awinds avatar Aug 06 '25 02:08 awinds

  1. refresh_tokenaccess_token 需要是两个独立的接口
  2. 使用 JWTToken::getCurrentId() 来获取并验证,如果令牌失效就会抛出异常,意思是令牌失效
  3. refresh_token 为什么要二次验证没有明白

Tinywan avatar Aug 06 '25 10:08 Tinywan

  1. refresh_tokenaccess_token 需要是两个独立的接口
  2. 使用 JWTToken::getCurrentId() 来获取并验证,如果令牌失效就会抛出异常,意思是令牌失效
  3. refresh_token 为什么要二次验证没有明白
  1. 明白,需要自行判断path来判断你传入的token是access_token还是refresh_token
  2. 在传入refresh_token后调用JWTToken::getCurrentId();会报错,所以我才会问传入的是refresh_token时如何验证有效
  3. 二次判断只是个人的一个想法,只是想再次验证refresh_token是否是这个登录用户传入的

awinds avatar Aug 06 '25 10:08 awinds