Laravel5.5でPassport利用時、AccessTokenリフレッシュ時にRefreshTokenをRevokeしない

Laravel5.5でPassport利用時、AccessTokenをリフレッシュした場合に、利用していたRefreshTokenがRevokeされて即時に使えなくなるのですが、とあるクラウドに接続する場合には即時に使えなくなることは許可してくれません。
即時にRevokeさせない方法をご存知の方がいればご教授ください。
（理由は公開されていないのでわかりませんが、おそらく、取得に失敗しても再度取得できるようにしばらく使えるようにしろということだと思うのですが、、、）

よろしくお願いします。

行動規範の内容に同意します

回答2件

ベストアンサー

League\OAuth2\Server\Grant\RefreshTokenGrantクラスのrespondToAccessTokenRequestでリフレッシュ処理を行っていますが、特に設定などはなく必ずrevoke処理を行うようになっています。

Old refresh token should not be IMMEDIATELY revokedというissueがgithubにありますが今のところ結論は出ていないようです。

ただ、中程にあるhalaeiさんのコメントにこうやって対処していますというコードが貼られているので参考にはなるかと思います。\Laravel\Passport\Bridge\RefreshTokenRepositoryを継承してrevokeRefreshTokenを即座にrevokeするのではなく1時間後にexpireするように変更したクラスを作って入れ替えるということをしています。

投稿2017/11/08 02:03

crhg

総合スコア1175

yamayamak

2017/11/08 02:20 編集

ありがとうございます。異なるソースですが私もRevokeするメソッドの中で１時間後に設定するようにしました。RefreshTokenだけでなく、払い出したAccessTokenもRevokeをしないように変更しないとRefreshTokenの払い出しに失敗していましたので、AccessTokenもRevokeしないようにしています。通常はAccessTokenはExpireしてからRefreshで更新するので、もともと使えないのでRevokeを外しても問題はないと思っています。（このように変更してクラウド接続試験をパスしました。）

行動規範の内容に同意します

参考まで変更点は以下です。

ProjectDir/vendor/laravel/passport/src/Bridge/RefreshTokenRepository.php

php
1use Carbon\Carbon;
2    public function setExpireRefreshToken($tokenId)
3    {
4        $this->database->table('oauth_refresh_tokens')
5                    ->where('id', $tokenId)->update(['expires_at' => Carbon::now()->addHour(1)]);
6    }

ProjectDir/vendor/league/oauth2-server/src/Grant/RefreshTokenGrant.php

php
1        //$this->accessTokenRepository->revokeAccessToken($oldRefreshToken['access_token_id']);
2        //$this->refreshTokenRepository->revokeRefreshToken($oldRefreshToken['refresh_token_id']);
3        $this->refreshTokenRepository->setExpireRefreshToken($oldRefreshToken['refresh_token_id']);