Logowanie w SPA z wykorzystaniem Laravel Passport

Question

Cześć, szukam wskazówek i rad na temat logowania usera do API przy pomocy tokenu. Logowanie mam już zrobione i obsłużone po stronie serwera i frontu ale nie do końca mam pewność czy robię to dobrze. Teraz po zalogowaniu i otrzymaniu tokenu z API w Vue zapisuje token do store i localstorage. Gdy user odświeży stronę sprawdzam czy istnieje token w localstorage i jeśli tak to sprawdzam czy jest on poprawny i zapisuję w store. Jeśli jednak tokenu nie ma w localstorage, przekierowuję usera do strony logowania. I tutaj moje pytanie, aktualnie działa to tak, że userowi w takim przypadku zostaje przypisany nowy token i w bazie dany user ma teraz dwa tokeny dostępu, oba prawidłowe. Czy powinno to działać w taki sposób? Szukałem w docs Passporta ale nie znalazłem informacji na ten temat (chyba, że ją ominąłem),  znalazłem tylko metodę tokens() dostępną z poziomu modelu User, która zwraca wszystkie tokeny. Czy powinienem skonstruować metodę do logowania w taki sposób aby w przypadku, gdy user posiada już jeden aktywny token nie przydzielał się mu kolejny ? Jak działają takie systemy logowania? Czy tokenów może być niezliczona ilość? I jak wygląda logowanie na wielu urządzeniach w tym samym czasie?

Answer 1

Dla takiej aplikacji dobrze byłoby gdybyś zrobił api stateless. To znaczy back-end nie trzyma żadnych informacji o tym kto jest zalogowany i czy jego sesja jest aktualna. Wszystko to można zawrzeć w tokenie JWT.

Comments

Ja tam wolę bezpieczne i sprawdzone rozwiązania. Jak chcesz to korzystaj :D

Poza tym w aplikacjach typu SPA często najlepszym rozwiązaniem jest utworzenie stałego połączenia np. za pomocą biblioteki SignalR i uwierzytelnienie tylko przy nawiązywaniu połączenia, więc JWT nie ma sensu używać.

---

Pewnie. Pół świata ma SPA + REST API JWT, ale co tam. Niebezpieczne. Ja wiem lepiej nie? 

---

Myślę, że z JWT jest podobnie jak z jQuery czy AngularemJS. Dużo ludzi idzie w to bo jest modne i tyle a nie, że uważa za praktyczne czy wygodne.

---

Porównujesz JWT będące standardem do jQuery/Angulara które de facto są libkami/frameworkami. Jednocześnie sam wyjeżdżasz z jakąś .NETową libką sugerując, że dla spa rozwiązania stałopołączeniowe są najlepsze. Piszesz to ogólnie nie podając żadnego kontekstu czy przypadku biznesowego w którym warto byłoby tego użyć. 

Analogia do "moje zabawki są lepsze".

---

Niczego nie porównuję. Mam na myśli trendy w IT czy to jakiś język, biblioteka czy standard to nie ma znaczenia. I tak jest zapewne też z JWT, wykorzystują bo jest modne. Pomijam już fakt, że często wykorzystują go źle. Taki JWT to dobre rozwiązanie jak mamy np. robota w fabryce(ma ciągle te same Id, te same role i w dodatku działa w jakieś lokalnej sieci) i bezstanowość JWT nie będzie problemem. Co innego aplikacje webowe gdzie mamy duży ruch i dobrze byłoby mieć większą kontrolę kto i gdzie jest zalogowany - w takim przypadku bezstanowość tylko to utrudnia.