springboot JWT Token 自动续期的解决方案
关于JWT Token 自动续期的解决方案
前言
在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。
后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。
因为jwt token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。
但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。
如果真发生了这种情况前端用户肯定是要骂人的,用户体验非常不友好。本篇内容就是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。
实现原理
jwt token自动续期的实现原理如下:
登录成功后将用户生成的
jwt token
作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。当该用户再次请求时,通过后端的一个
jwt Filter
校验前端token是否是有效token,如果前端token无效表明是非法请求,直接抛出异常即可;根据规则取出cache token,判断cache token是否存在,此时主要分以下几种情况:
cache token 不存在
这种情况表明该用户账户空闲超时,返回用户信息已失效,请重新登录。cache token 存在,则需要使用jwt工具类验证该cache token 是否过期超时,不过期无需处理。
过期则表示该用户一直在操作只是token失效了,后端程序会给token对应的key映射的value值重新生成jwt token并覆盖value值,该缓存生命周期重新计算。
实现逻辑的核心原理:前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。
代码实现(伪码)
登录成功后给用户签发token,并设置token的有效期
...
SysUser sysUser = userService.getUser(username,password);
if(null !== sysUser){String token = JwtUtil.sign(sysUser.getUsername(),
sysUser.getPassword());
}
...public static String sign(String username, String secret) {//设置token有效期为30分钟Date date = new Date(System.currentTimeMillis() + 30 * 60 * 1000);//使用HS256生成token,密钥则是用户的密码Algorithm algorithm = Algorithm.HMAC256(secret);// 附带username信息return JWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
}
将token存入redis,并设定过期时间,将redis的过期时间设置成token过期时间的两倍
Sting tokenKey = "sys:user:token" + token;
redisUtil.set(tokenKey, token);
redisUtil.expire(tokenKey, 30 * 60 * 2);
过滤器校验token,校验token有效性
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {//从header中获取tokenString token = httpServletRequest.getHeader("token")if(null == token){throw new RuntimeException("illegal request,token is necessary!")}//解析token获取用户名String username = JwtUtil.getUsername(token);//根据用户名获取用户实体,在实际开发中从redis取User user = userService.findByUser(username);if(null == user){throw new RuntimeException("illegal request,token is Invalid!")}//校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){throw new RuntimeException("illegal request,token is expired!")}...
}
实现token的自动续期
public boolean refreshToken(String token, String userName, String passWord) {Sting tokenKey = "sys:user:token" + token ;String cacheToken = String.valueOf(redisUtil.get(tokenKey));if (StringUtils.isNotEmpty(cacheToken)) {// 校验token有效性,注意需要校验的是缓存中的tokenif (!JwtUtil.verify(cacheToken, userName, passWord)) {String newToken = JwtUtil.sign(userName, passWord);// 设置超时时间redisUtil.set(tokenKey, newToken) ;redisUtil.expire(tokenKey, 30 * 60 * 2);}return true;}return false;
}
...public static boolean verify(String token, String username, String secret) {try {// 根据密码生成JWT效验器Algorithm algorithm = Algorithm.HMAC256(secret);JWTVerifier verifier = JWT.require(algorithm).withClaim("username", username).build();// 效验TOKENDecodedJWT jwt = verifier.verify(token);return true;} catch (Exception exception) {return false;}
}
本文中jwt的相关操作是基于 com.auth0.java-jwt
实现,大家可以通过阅读原文获取 JwtUtil
工具类。
小结
jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准,千万不要直接校验Header中的token。实现原理部分大家好好体会一下,思路比实现更重要!
如果本文对你有帮助,
别忘记给我个三连:
点赞
。
咱们下期见!
收藏 等于白嫖,点赞 才是真情!
springboot JWT Token 自动续期的解决方案相关推荐
- JWT 实现登录认证 + Token 自动续期方案
前言 过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程.今天就来讲讲认证功能的技术选型及实现.技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡来说也是一种 ...
- 登陆认证方案比较(JWT 登录认证 + Token 自动续期)
概述 用户管理模块会涉及到加密及认证流程,今天就来讲讲认证功能的技术选型及实现. 技术选型 要实现认证功能,很容易就会想到 JWT 或者 session,但是两者有啥区别?各自的优缺点?应该 Pick ...
- jwt的token自动续约_SpringSecurity Jwt Token 自动刷新的实现
功能需求 最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那 ...
- springboot jwt token前后端分离_实战:十分钟实现基于JWT前后端分离的权限框架
前言 面试过很多Java开发,能把权限这块说的清楚的实在是不多,很多人因为公司项目职责问题,很难学到这类相关的流程和技术,本文梳理一个简单的场景,实现一个基于jwt前后端分离的权限框架. 简易流程 登 ...
- Spring Security Jwt Token 自动刷新
token的自动刷新 一.功能需求 二.功能分析 1.token 的生成 2.token 的自动延长 3.系统资源的保护 4.用户如何传递 token 三.实现思路 1.生成 token 和 refr ...
- springboot jwt token前后端分离_为什么要 前后端分离 ?
作 者:互扯程序 来 源:互扯程序 广而告之:由于此订阅号换了个皮肤,系统自动取消了读者的公众号置顶.导致用户接受文章不及时.您可以打开订阅号,选择置顶(星标)公众号,重磅干货,第一时间送达! 本文知 ...
- springboot jwt token前后端分离_「转」七个开源的 Spring Boot 前后端分离项目,建议收藏加转载...
其实前后端分离本身并不难,后段提供接口,前端做数据展示,关键是这种思想.很多人做惯了前后端不分的开发,在做前后端分离的时候,很容易带进来一些前后端不分时候的开发思路,结果做出来的产品不伦不类,因此松哥 ...
- springboot jwt token前后端分离_7个开源的 Spring Boot 前后端分离项目,一定要收藏!...
前后端分离已经在慢慢走进各公司的技术栈,根据松哥了解到的消息,不少公司都已经切换到这个技术栈上面了.即使贵司目前没有切换到这个技术栈上面,松哥也非常建议大家学习一下前后端分离开发,以免在公司干了两三年 ...
- springboot jwt token前后端分离_基于Spring Boot+Spring Security+JWT+Vue前后端分离的开源项目...
一.前言 最近整合Spring Boot+Spring Security+JWT+Vue 完成了一套前后端分离的基础项目,这里把它开源出来分享给有需要的小伙伴们 功能很简单,单点登录,前后端动态权限配 ...
- SpringBoot + JWT token验证
引入JWT依赖: <!--jwt--><dependency><groupId>io.jsonwebtoken</groupId><artifac ...
最新文章
- matlab自动加坐标,matlab自动驾驶系统-坐标系
- mysql丢失召回_mysql笔记
- DM6446开发攻略:V4L2视频驱动和应用分析
- python数据动画_[转载]Maya使用Python获取动画每帧的rotation数据
- Linux 实操———CentOS 6 安装配置 Tomcat
- 动态对象泛型数组绑定控件 0107
- c++如何使用json配置文件
- 接口的屏蔽和限流很难么?Redis全搞定!
- 洛谷月赛 P3406 海底高铁
- java改变实参_java中引用传递问题,在函数中修改引用的指向,会不会影响实参?...
- JavaScript MVC 框架开源软件
- [javaSE] GUI(Action事件)
- Netlog中数据库演变过程(转载)
- 怎么添加计算机到网络共享中心,主编教您怎么设置局域网共享
- Jlink V8 在 Keil MDK5.25 中无法正常烧写、调试程序的故障处理
- h5调用指纹识别_H5 画布指纹识别
- hone hone clock创意前端时钟
- Java计算百分比方法
- 计算机网络英文习题(中文及答案解析)
- XiaoHu日志 9/5~9/6