Алексей Уколов, Алексей, просто как никогда.. Перенес определение роута из файла api.php в web.php. Спасибо! Глупый вопрос, на который потрачено много времени.
Мне казалось что этот плагин весьма гибкий. Возможно, что отсутвие протухания похищенного токена обусловлено такими кейсами, когда пользователь заходит в приложение с разных устройств, и следовательно имеет несколько актуальных (и протухших) токенов, а система просто не разбирает к какому устройству принадлежит токен.
Т.е. если добавить к таблице, в которой хранятся токены колонку уникального ИД устройства, и позволить для устройства иметь только один валидный токен (который при протухании обновляется) система начнет работать с защитой от кражи..
Предлагаю просто форкнуть jwt-auth. Мне понравилось как автор внутри его написал. Там очень красиво.
Ок, спасибо!
На самом деле я нашел несколько решений - например LandLord, который добавляет глобальный скоуп по определенной колонке (account_id). Да и сам просто сделал трейт который переопределяет newQuery, добавляя выборку по колонке.
Похоже это действительно наиболее оптимальный путь. Видимо у меня стремление к усложнению. На самом деле, просто решил дописать новый компонент, который будет выводить заголовки привязанных мероприятий (получая их ИД из ИД текущего элемента), а к ним привязанный инфоблок комментов, с передачей одного ИДшника.
