首页 > 其他分享 >关于JWT Token 自动续期的解决方案

关于JWT Token 自动续期的解决方案

时间:2023-09-25 13:35:45浏览次数:36  
标签:username String 用户 JWT jwt token 校验 Token 续期

前言


在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。

后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。

因为jwt token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。

但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。

如果真发生了这种情况前端用户肯定是要骂人的,用户体验非常不友好。本篇内容就是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。

 

实现原理


jwt token自动续期的实现原理如下:

  1. 登录成功后将用户生成的 jwt token 作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。
  2. 当该用户再次请求时,通过后端的一个 jwt Filter 校验前端token是否是有效token,如果前端token无效表明是非法请求,直接抛出异常即可;
  3. 根据规则取出cache token,判断cache token是否存在,此时主要分以下几种情况:
    • cache token 不存在
      这种情况表明该用户账户空闲超时,返回用户信息已失效,请重新登录。
    • cache token 存在,则需要使用jwt工具类验证该cache token 是否过期超时,不过期无需处理。
      过期则表示该用户一直在操作只是token失效了,后端程序会给token对应的key映射的value值重新生成jwt token并覆盖value值,该缓存生命周期重新计算。

实现逻辑的核心原理:前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。

 

代码实现(伪码)


  1. 登录成功后给用户签发token,并设置token的有效期
...
SysUser sysUser = userService.getUser(username,password);
if(null !== sysUser){
    String token = JwtUtil.sign(sysUser.getUsername(), 
sysUser.getPassword());
}
...
public static String sign(String username, String secret) {
    //设置token有效期为30分钟
 Date date = new Date(System.currentTimeMillis() + 30 * 60 * 1000);
 //使用HS256生成token,密钥则是用户的密码
 Algorithm algorithm = Algorithm.HMAC256(secret);
 // 附带username信息
 return JWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
}

 

  1. 将token存入redis,并设定过期时间,将redis的过期时间设置成token过期时间的两倍
Sting tokenKey = "sys:user:token" + token;
redisUtil.set(tokenKey, token);
redisUtil.expire(tokenKey, 30 * 60 * 2);

 

  1. 过滤器校验token,校验token有效性
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    //从header中获取token
 String token = httpServletRequest.getHeader("token")
 if(null == token){
  throw new RuntimeException("illegal request,token is necessary!")
 }
    //解析token获取用户名
 String username = JwtUtil.getUsername(token);
 //根据用户名获取用户实体,在实际开发中从redis取
 User user = userService.findByUser(username);
    if(null == user){
  throw new RuntimeException("illegal request,token is Invalid!")
    }
 //校验token是否失效,自动续期
 if(!refreshToken(token,username,user.getPassword())){
  throw new RuntimeException("illegal request,token is expired!")
 }
 ...
}

 

  1. 实现token的自动续期
public boolean refreshToken(String token, String userName, String passWord) {
 Sting tokenKey = "sys:user:token" + token ;
 String cacheToken = String.valueOf(redisUtil.get(tokenKey));
 if (StringUtils.isNotEmpty(cacheToken)) {
  // 校验token有效性,注意需要校验的是缓存中的token
  if (!JwtUtil.verify(cacheToken, userName, passWord)) {
   String newToken = JwtUtil.sign(userName, passWord);
   // 设置超时时间
   redisUtil.set(tokenKey, newToken) ;
   redisUtil.expire(tokenKey, 30 * 60 * 2);
  }
  return true;
 }
 return false;
}
...
public static boolean verify(String token, String username, String secret) {
 try {
  // 根据密码生成JWT效验器
  Algorithm algorithm = Algorithm.HMAC256(secret);
  JWTVerifier verifier = JWT.require(algorithm).withClaim("username", username).build();
  // 效验TOKEN
  DecodedJWT jwt = verifier.verify(token);
  return true;
 } catch (Exception exception) {
  return false;
 }
}

 

本文中jwt的相关操作是基于 com.auth0.java-jwt 实现,大家可以通过阅读原文获取 JwtUtil 工具类。

 

小结


jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准,千万不要直接校验Header中的token。实现原理部分大家好好体会一下,思路比实现更重要!

 

标签:username,String,用户,JWT,jwt,token,校验,Token,续期
From: https://www.cnblogs.com/dancesir/p/17727742.html

相关文章

  • Angular APP_INITIALIZER Injection Token 的使用方法介绍
    import{APP_INITIALIZER}from'@angular/core'这行代码在Angular中的作用是导入名为APP_INITIALIZER的常量,它来自Angular核心模块@angular/core。APP_INITIALIZER是一个重要的Angular特性,它用于执行一系列初始化操作,通常用于配置应用程序之前执行一些必要的任务。......
  • 什么是 JSON Web Token
    JSONWebToken(JWT),又称为JSON令牌,是一种用于在网络应用之间安全地传输信息的开放标准(RFC7519)。它采用了一种紧凑的、自包含的方式来表示信息,通常用于身份验证和授权。JWT的设计目标是确保信息的完整性和安全性,同时具备易于使用和传输的特点。JWT的结构JWT由三个部分组成,它们之......
  • Angular 应用开发中 Injection Token 的使用方法介绍
    Angular是一个流行的前端JavaScript框架,它提供了一种强大的方式来构建单页应用程序(SPA)。在Angular中,依赖注入(DependencyInjection,DI)是一项关键的功能,它允许我们有效地管理应用程序中的依赖关系。Angular的依赖注入系统使用InjectionToken来实现某些特殊的依赖注入需求。在本文中,......
  • kubepi加入集群,生成token
    防丢失https://www.cnblogs.com/Chinori/p/17506348.html kubectlcreatesakubepi-user--namespacekube-systemkubectlcreateclusterrolebindingkubepi-user--clusterrole=cluster-admin--serviceaccount=kube-system:kubepi-userkubectl-nkube-systemcreatetoke......
  • Token持久化存储
    Token持久化存储我们之前使用SpringSecurity时,remember-me的Token是支持持久化存储的,而我们当时是存储在数据库中,那么Token信息能否存储在缓存中呢,当然也是可以的,我们可以手动实现一个://实现PersistentTokenRepository接口@ComponentpublicclassRedisTokenRepositoryimplem......
  • JWT相关
    概念JWT是⼀个开放标准,它定义了⼀种⽤于简洁,⾃包含的⽤于通信双⽅之间以JSON对象的形式安全传递信息的⽅法。可以使⽤HMAC算法或者是RSA的公钥密钥对进⾏签名。优点:⽣产的token可以包含基本信息,⽐如id、⽤户昵称、头像等信息,避免再次查库存储在客户端,不占⽤服务......
  • drf - 基于自定义表编写认证类、jwt源码剖析
    补充点翻译函数; 只要做了国际化处理,就会显示当前国家的语言fromdjango.utils.translationimportgettext_lazyas_msg=_('Signaturehasexpired.')#_是函数的别名,这个函数是翻译函数,只要做了国际化处理,它就是中文基于自定义表编写认证类classAuthAuthent......
  • drf - jwt自定义表签发、jwt 多方式登录(auth的user表)
    jwt自定义表签发1、导入模块: fromrest_framework_jwt.settingsimportapi_settings2、写一个属性:jwt_payload_handler=api_settings.JWT_PAYLOAD_HANDLERjwt_encode_handler=api_settings.JWT_ENCODE_HANDLER3、登录逻辑:classUserViews(ViewSet):......
  • 完美解决ParserError: Error tokenizing data. C error: Expected 2 fields in line 5
    完美解决ParserError:Errortokenizingdata.Cerror:Expected2fieldsinline53,saw3文章目录报错问题解决方法声明报错问题之前在工作中遇到过这个坑,记录一下问题以及解决方法,不一定针对所有情况都能用,但是可以供大家参考。问题描述如下:ParserError:Errortokenizing......
  • drf之jwt使用
    目录简介JWT构成JWT的使用安装快速使用定制返回格式jwt认证类简介Jsonwebtoken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服......