已经移除PHP版本限制

webman/console 版本太低了，升级一下

在config下面手动创建了一个

ok了

默认配置文件都是有的，就是使用的插件的app，如果没有，你看看是不是你的console这个插件的版本比较低。请更新到webman-framework1.2.2或者后续更高版本。更多参考：https://www.workerman.net/q/7871

已经封装好的，为啥要自己重新搞？

修改配置文件 config/plugin/tinywan/jwt/app.php access令牌过期时间，单位秒

格式 ：Authorization: Bearer [BEARER_TOKEN]

后面看到了，谢谢

不行，过期时间返回是一个正整数，必须在过期前获取是否小于等于0。否则或抛出一个异常

单设备登录是通过redis实现的？

是的

楼主，是否考虑增加jwt过期时间容错功能，譬如token过期后30秒或者1分钟内还能有效，这个可以解决并发和自动续期问题

感谢你的建议，你的token既然已经过期了，为什么还要在30秒或者1分钟内还能有效？这个是不是自相矛盾了。你的并发和自动续期问题可否详细说明一下

请使用composer官方源下载

@wang5955616 试试我的多应用 https://www.workerman.net/plugin/45

生成令牌的时候增加一个自定义字段即可，如：origin，后台管理：origin =manage ，用户端：origin =user

如果获取token的时候，后台的id=1 用户端id=1 JwtToken::getCurrentId(); 获取的也是1 用自定义字段来判断是用户还是管理员嘛？

是的，通过获取扩展字段函数

$role = Tinywan\Jwt\JwtToken::getExtendVal('role');

例如我们是通过 is_admin 这个扩展表示获取当前登录用户的身份信息

{
  "extend": {
    "uid": 2054654646,
    "is_admin": true,
    "role": "admin",
    "realname": "管理员"
  }
}

增加扩展字段即可

报错信息是啥？

不需要

第一个，没必要吧！

第二个，只要调用$exp = Tinywan\Jwt\JwtToken::getTokenExp();就会返回错误。这个如何复现呢？

把配置文件中的'access_exp' => 12,设置时间短一点，'leeway' => 0,然后在方法中调用\Tinywan\Jwt\JwtToken::verify()，只要access_exp时间已过，不管refresh_exp过不过，都会直接返回“身份验证会话已过期，请重新登录！”。我现在的主要问题是，想在access_exp过期后，refresh_exp之前进行刷新TOKEN，如何实现？？

关键问题是想判断一下token是否过期，一用verify判断就报错了

其实用getTokenExp判断，也要走verify，当token过期后，同样报错

开启单点登录，清除缓存即可

不开单点登陆，有办法做到么

有，需要自己实现，
1、生成的access_token存储在缓存
2、登录校验 access_token 是否存在缓存中
3、退出登录时，清除缓存

欢迎提交PR，哈哈

这配置项是支持关闭 refresh_token 选项的。你要存在缓存意图是？

你是哪个版本？

1.2

原来的token你是在哪里还能使用

同一个用户，第一次登录生成一个token，第二次登录生成一个token。两个token请求后台都能验证通过并且获取到用户信息

请更新到最新版本。composer require tinywan/jwt ^1.4.0

可以了，谢谢

请更新到最新版本。composer require tinywan/jwt ^1.5.0。调用方法：Tinywan\Jwt\JwtToken::clear();

更新找不到1.5版本，只有最高1.4版本的，默认源没法更新，用了阿里和腾讯的，过段时间我再看看这些镜像源有没有同步吧

我这边没问题：

E:\dnmp\www\webman-admin>composer require tinywan/jwt ^1.5.0
./composer.json has been updated
Running composer update tinywan/jwt
Loading composer repositories with package information
https://repo.packagist.org could not be fully loaded (curl error 28 while downloading https://repo.packagist.org/packages.json: Operation timed out after 10010 milliseconds with 0 out o
f 0 bytes received), package information was loaded from the local cache and may be out of date
Updating dependencies
Lock file operations: 0 installs, 1 update, 0 removals
- Upgrading tinywan/jwt (dev-main b3cbde8 => v1.5.0)
Writing lock file
Installing dependencies from lock file (including require-dev)
Package operations: 0 installs, 1 update, 0 removals
- Downloading tinywan/jwt (v1.5.0)
- Upgrading tinywan/jwt (dev-main b3cbde8 => v1.5.0): Extracting archive
Generating autoload files
30 packages you are using are looking for funding.
Use the `composer fund` command to find out more!

推荐使用官方源

使用刷新令牌，而不是访问令牌去刷新

刷新令牌就是请求头efresh_token来调用刷新令牌接口的。

开了单点登录，用refresh_token刷新令牌，总是返回“身份验证令牌已失效”错误。然后，就把JwtToken.php里verifyToken()函数最后一个判断是否单点登录改成了这样
if ($config['is_single_device'] && self::ACCESS_TOKEN == $tokenType)。
在 refreshToken() 函数返回语句前添加判断是单点登录，是就将刷新后的token写入redis。
if ($config['is_single_device']) {
RedisHandler::generateToken([
'id' => $extend['extend']['id'],
'access_token' => $newToken['access_token'],
'cache_token_ttl' => $config['cache_token_ttl'],
'cache_token_pre' => $config['cache_token_pre']
]);
}
这样刷新token就可以正常返回，刷新后的token也会写入redis。旧的token失效，新的token也可以正常使用。是不是我的调用方法不对，没改之前，单点登录刷新token一直返回上面的错误。关闭单点登录后，可以成功调用刷新token。

感谢反馈，请更新到最新版本 v1.5.3

已经更新到v1.5.3。单点登录，刷新接口可以正常返回token。但是刷新后用新的token调用接口无效，看了下是redis里面保存的还是旧的token，新生成的token并没有保存并替换redis里的旧token，所以验证token总是失败。

感谢反馈，问题已找到，开启单点登录，刷新新临牌没存储的Redis，问题已解决。请更新到最新版本 v1.6.0

不要走这个中间件就行了

已经解决了 不获取用户信息就行

你本地git配置问题

配置文件的 'is_single_device' 这个开启没？

你想说啥？

目前只支持http，websocket 的话一般都是使用签名解决的

以下可以作为参考

$gateway->onConnect = function($connection)
{
    $connection->onWebSocketConnect = function($connection , $http_header)
    {
        // 判断连接来源是否合法，不合法就关掉连接（Jmeter压测暂时注释掉）
        if (!isset($_SERVER['HTTP_ORIGIN'])) {
            return $connection->close();
        }

        if (false === \redis\RedisHandler::isValidDomain($_SERVER['HTTP_ORIGIN'])) {
            return $connection->close();
        }

        if (!isset($_GET['sign']) || !isset($_GET['ts'])) {
            return $connection->close();
        }

        // 判断请求中的失效时间（timestamp+有效时长）是否小于当前时间
        if ($_GET['ts'] < time()) {
            return $connection->close();
        }

        $wsServerSign = sha1($_GET['ts'].'|'.config('security')['websocket']['secret']);
        if ($_GET['sign'] != $wsServerSign) {
            return $connection->close();
        }
    };
}; 

这仅仅只是验证了下 请求的合法性，没包含用户身份信息。

getTokenFromHeaders 不考虑搞个姊妹方法？类似于getTokenFromGet ?
这样在websocket请求的时候，可以在url中构造进去token，然后共用一套鉴权方案

如果从headers中没取到，尝试从get中取一下 token

或者 verifyToken 直接公共出来，可以手动验证token . 自由度大一点

应该可以使用jwt，因为ws握手是使用的http协议，所以在客户端请求链接时携带token就行

欢迎提交PR

verify方法可以直接传递token

是的，我看到了，我就用了verify

之前本来想着能够完美兼容就好，但是发现实际上在gateway-woker 中 上下文中根本就没有Request 对象，要想用getCurrentId那一套的话，需要自己new 一个 request(buffer)，自己填充buffer （token 信息），然后Context set 实际上也是可行的

那就手动加到头文件里

怎么手动加到头文件里

直接调用verify也可以

一直就支持手动的

欢迎PR

code码是业务状态码。这个异常数据http层面的，统一是401

不能统一返回401吧， 如果有token过期需要前端调用刷新token接口都返回401无法判断吧

http的状态码是可以支持自定义的，在配置文件

        // 自定义HTTP状态码
        'status' => [
            'validate' => 400, // 验证器异常
            'jwt_token' => 401, // 认证失败
            'jwt_token_expired' => 403, // 访问令牌过期
            'jwt_refresh_token_expired' => 402, // 刷新令牌过期
            'server_error' => 500, // 服务器内部错误
        ],

默认都是401,

这个http状态在哪里配置的？

目前我是通过在中间件里
try {
$accessUserId = \Tinywan\Jwt\JwtToken::getCurrentId();
$response = $request->method() == 'OPTIONS' ? response('') : $handler($request);
} catch (\Tinywan\Jwt\Exception\JwtTokenExpiredException $exception) {//token过期
// 返回自己自定义的message格式
$msg = $exception->getMessage();
$code = 401;
$response = json([
'code' => $code,
'msg' => $msg,
'data' => []
]);
} catch (\Tinywan\Jwt\Exception\JwtRefreshTokenExpiredException $exception) {//提交的刷新token验证失败
// 返回自己自定义的message格式
$msg = $exception->getMessage();
$code = 403;
$response = json([
'code' => $code,
'msg' => $msg,
'data' => []
]);
}

你这写的太复杂话了，一个简单的中间件就可以搞定

使用这个异常插件，搞定一切：https://www.workerman.net/plugin/16

单设备登录支持定义客户端 client 字段，自定义客户端单点登录（默认为WEB，即网页端），如：MOBILE、APP、WECHAT、WEB、ADMIN、API、OTHER等等

$user = [
    'id'  => 2022,
    'name'  => 'Tinywan',
    'client' => 'MOBILE',
];
$token = Tinywan\Jwt\JwtToken::generateToken($user);
var_dump(json_encode($token));

你可以使用前台 'client' => 'FRONTEND', 后台 'client' => 'BACKEND',

好的，我试试

这是你包依赖问题，本地php没开启sodium扩展

感谢反馈，多了一个:。请更新到v1.8.3

少了个空格吧

可以更新到 v1.8.4 ，移除了 *

我调试发现，这个JwtToken,没有在
/**

• @desc: 校验令牌
• @param string $token
• @param int $tokenType
• @return array

• @author Tinywan(ShaoBo Wan)
  */
  private static function verifyToken(string $token, int $tokenType): array
  {
  $config = self::_getConfig();
  JWT::$leeway = $config['leeway'];
  $decoded = JWT::decode($token, new Key($publicKey, $config['algorithms']));
  $decodeToken = json_decode(json_encode($decoded), true);
  if ($config['is_single_device'] && self::ACCESS_TOKEN == $tokenType) {

      $client = $decodeToken['extend']['client'] ?? self::TOKEN_CLIENT_WEB;
      RedisHandler::verifyToken($config['cache_token_pre'], $client, (string)$decodeToken['extend']['id'], $token);
  }
  return $decodeToken;

  }
  这个方法里面进行验证是否是有效的，

额，我改了一下把refresh_token存到了redis里面，进行和access_token一样的判断，就是还有一个问题，刷新以后的存的access_token，存储ttl为时间戳，一直在redis的缓存里面没有过期，半个月了都 ，2小时过期的

你可以提交个PR

大佬提交，看看哪写错了，或者理解错了的麻烦指点一下，谢谢

感谢！

我更新版本，插件的配置文件没有更新，只能手动复制吗

配置文件只能手动更新

还有一个问题，如果redis里面的key有几十万甚至更多，用Redis::keys方法会不会有性能问题，感觉这样不是很合适，希望能快点出新的版本，不太想手改vendor

欢迎提交PR

其实我还没有懂，为什么要用keys获取数组，然后删除。我想的就是直接删除
$token = Redis::keys($pre . $client. ':'. $uid);
不这样写，直接 Redis::del($pre . $client. ':'. $uid);
你看这样可以吗

我这边使用的场景是会存在多个客户端，会需要同时清理

多客户端用keys这种命令，线上不太有好吧。或者搞个配置，是否开启多客户端。
还有一个问题，如果redis配置了前缀，你keys获取的键名就会带有前缀，这样clear清楚不了

keys这命令，是个阻塞命令，虽然一般情况问题不大，不过感觉上好像不太好。
水平有限，个人一点愚见

我这边的实际使用场景确实是需要开启多个的

这个令牌一般都是首次登录会存储，不会有很大的并发存在

这个令牌一般都是首次登录会存储，不会有很大的并发存在

不是并发问题，是keys命令阻塞，这命令执行瞬间会阻塞redis，如果redis里面的keys太多，百万级，可能对整体性能有影响

然后就是redis前缀问题，设置了前缀，clear就无效

那你提个PR，直接改成del

好的，稍等一下

https://github.com/Tinywan/webman-jwt/releases/tag/v1.9.1

暂无该方法，欢迎PR

我是在缓存里面记录登录用户信息，和记录对应的token,每次刷新再重新写入

你想说啥子

说他清除指定用户的token，后台强制用户退出登录状态

那直接删除缓存就行了，缓存key都是拼接的

😂可以直接去删除缓存的吧

这个是不是没配置

'user_model' => function($uid) {
    // 返回一个数组
    return \think\facade\Db::table('resty_user')
        ->field('id,username,create_time')
        ->where('id',$uid)
        ->find();
}

jwt 生成的access_token 代码贴一下

抱歉，这个问题不该问，jWT 代码别人生成的，代码我没拿到，我只需要验证token 是否有效，把加密的秘钥和token解析一下就行了，能解析成功就验证成功，是没有走数据库的

$userinfo = \Tinywan\Jwt\JwtToken::getUser();
var_dump($userinfo); 这个配置需要走数据库，你要用她的话

好的，谢谢

这个能具体点吗？没听明白