后端双token登陆快速入门:双token实现登陆,判断登陆过期

已于 2024-04-14 15:23:42 修改
阅读量1.2k 收藏 21
点赞数 14
文章标签: java spring boot 后端 架构
于 2024-04-14 15:11:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Old_Secretary/article/details/137745536
版权

双token验证登陆过期

JWT

不了解token或者JWT的可以先看这里JWT 基础概念详解 | JavaGuide,了解后可以直接跳过这一部分

简单来说,Token是用来鉴别用户身份的令牌,JWT是JSON Web Token一种规范化之后的 JSON 结构的 Token。

JWT 本质上就是一组字串,通过(.)切分成三个为 Base64 编码的部分:

JWT通常长这样子:xxxxx.yyyyy.zzzzz

示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT在加密之前是json格式的,加密后才变得如此抽象,用.分割的三部分在加密前都是JSON格式的数据,分别如下:

  • Header : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型
  • Payload : 用来存放实际需要传递的数据。其中我认为最主要的两个字段:sub字段存储想要保存的信息,exp字段保存该JWT的过期时间
  • Signature(签名):服务器通过 Payload、Header 和一个密钥(Secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

而服务器端通过加密算法生成JWT,并将诸如用户ID,用户权限等信息放入Payload的sub字段,前端调用后端接口时把token作为参数(一般以http头的形式)传给后端,后端解析后得知调用这个参数的用户是哪一个,由此做出相应的响应。

为什么要使用双token

由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长:

  • 当用户信息发生更改时,token中的信息无法及时更改
  • 增加token中信息泄露的风险

然而token过期时间短的话,用户需要不停登陆,体验较差

解决方案:使用双token验证登陆过期:

  • 一个accessToken,过期时间较短,储存用户信息权限等
  • 一个refreshToken,过期时间较长,不储存额外信息,只储存用户id

双token运作流程

  1. 前端请求登录/注册接口后后端会返回accessToken和refreshToken
  2. 请求需要登录的接口时,在请求头携带accessToken,key为“Authorization”,value为accessToken的值
  3. 后端首先验证accessToken是否过期,没过期就正常处理请求、返回结果;过期就返回errCode=409,errDesc="用户未登录"的结果
  4. 前端如果接收到了上述过期的结果,需要不携带任何请求头请求/api/user/refreshToken接口,传入参数refreshToken=“xxxx”。
  5. 如果refreshToken没过期,后端会返回新的accessToken和refreshToken,此时前端可以用拿到的新的accessToken重新请求登陆接口
  6. 如果refreshToken也过期了,/api/user/refreshToken接口同样会返回errCode=409,errDesc="用户未登录"的结果,此时前端需要提示用户长时间未操作,需要重新登陆(这次登陆不携带token,需要用户输入账号密码等方式登陆)

这个流程需要前端配合:

  • 登陆接口收到409的响应后,需要请求/api/user/refreshToken接口
  • /api/user/refreshToken接口返回新的accessToken后需要重新请求登陆接口
  • /api/user/refreshToken接口返回409后需要跳转到登陆界面

后端双token代码:

JwtUtil.java:

JWT工具类,可以直接照搬使用

package com.neu.deliveryPlatform.util;

/**
 * @Author laobuzhang
 * @Description: jwt工具类,通过UUID算法生成JWT的id,通过subject参数将要储存的信息放在jwt的sub字段中
 */

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;

/**
 * JWT工具类
 */
public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 60 * 60 * 24 * 1000L;//  一天
    //设置秘钥明文
    public static final String JWT_KEY = "BuXiWanGongZuoShi";

    public static String getUUID() {
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }

    /**
     * 生成jtw
     *
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());
        return builder.compact();
    }

    /**
     * 创建token
     *
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成jtw
     *
     * @param subject   token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }

    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        // jwt签名加密算法HS256
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        // 密钥
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if (ttlMillis == null) {
            ttlMillis = JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)           // 唯一的ID,通过这个ID可以在redis中找到该JWT对应的用户信息
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("sg")       // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);
    }


    /**
     * 生成加密后的秘钥 secretKey
     *
     * @return
     */
    public static SecretKey generalKey() {
        // 使用base64将密钥编码成二进制
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        // 使用AES算法加密二进制密钥
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析jwt,最主要目的拿到jwt的id
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }


}

UserServiceImpl.java:

Response,openid等是我的项目中才有的,你的项目需要按照情况更改

public Response login(String userName,String password){
    //写一些判断登陆信息是否正确的逻辑
    
    if(成功登陆){
        // openid是微信登陆的凭证,你的项目没有就可以不要这个参数
        // user是登陆成功后从数据库中查到的用户信息实体类变量
        return Response.of(getLoginResponse(openid,user));
    }else{
        throw new BizException(ErrorCode.LOGIN_ERROR);
    }
}

private Map<String, Object> getLoginResponse(String openid, User user) {   
    Long userId = user.getId();
    //查询权限信息
    List<String> roles = userMapper.getRoles(userId);
    List<String> authorities = userMapper.getAuthorities(userId);
    UserPermission userPermission = new UserPermission();
    userPermission.setUserId(String.valueOf(userId));
    userPermission.setOpenid(openid);
    userPermission.setRoles(roles);
    userPermission.setAuthorities(authorities);
    //存入redis
    String key = KeyProperties.TOKEN_PREFIX + userId;
    String value = JSON.toJSONString(userPermission);
    stringRedisTemplate.opsForValue().set(key, value, configProperties.getAccessTokenExpiration(), TimeUnit.MILLISECONDS);
    stringRedisTemplate.opsForValue().set(key, String.valueOf(userId), configProperties.getRefreshTokenExpiration(), TimeUnit.MILLISECONDS);
    //根据userId生成jwt
    String accessToken = JwtUtil.createJWT(String.valueOf(userId), configProperties.getAccessTokenExpiration());
    String refreshToken = JwtUtil.createJWT(String.valueOf(userId), configProperties.getRefreshTokenExpiration());
    //封装jwt为token返回
    Map<String, Object> resp = new HashMap<>();
    resp.put(ACCESS_TOKEN, accessToken);
    resp.put(REFRESH_TOKEN, refreshToken);
    resp.put(USERNAME, user.getUsername());
    resp.put(USER_ID, userId);
    return resp;
}


public Response refreshToken(String refreshToken) {
    //解析token
    String userId = "";
    Claims claims = null;
    try {
        claims = JwtUtil.parseJWT(refreshToken);
    } catch (Exception e) {
        throw new BizException(ErrorCode.TOKEN_PARSE_ERROR);
    }
    userId = claims.getSubject();
    //从redis获取用户信息
    String key = KeyProperties.TOKEN_PREFIX + userId;
    String userInfo = stringRedisTemplate.opsForValue().get(key);
    //这之前应该加一个refreashToken过期的判断,这里没有写完全
    //重新设置redis Key
    stringRedisTemplate.delete(key);
    stringRedisTemplate.opsForValue()
            .set(key, userInfo, configProperties.getRefreshTokenExpiration(), TimeUnit.MILLISECONDS);
    //生成新的token
    //根据userId生成jwt
    String accessToken = JwtUtil.createJWT(String.valueOf(userId), configProperties.getAccessTokenExpiration());
    refreshToken = JwtUtil.createJWT(String.valueOf(userId), configProperties.getRefreshTokenExpiration());
    //封装jwt为token返回
    Map<String, String> resp = new HashMap<>(2);
    resp.put(ACCESS_TOKEN, accessToken);
    resp.put(REFRESH_TOKEN, refreshToken);
    return Response.of(resp);
}
laobuzhang
关注
  • 14
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
JWT之token机制与token详解
热门推荐
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
基于redis实现token验证用户是否登陆
01-19
基于项目需求, 我们要实现一个基于redis实现token登录验证,该如何实现呢: 后端实现: 1.引入redis相关的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifa
token认证的实现流程
最新发布
命师
04-15 1079
操作机制:Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌),它的出现就是为了解决单token的不足,所以才会引入token的机制也就是 RefreshToken (刷新令牌),因为它可以延长实际的绘画时间,用户提供了一种安全的方式来去更新AccessToken,并且在必要的时候撤销特定用户的权限,而并不会影响有效的绘画内容。没有权限细分管理(单一的access token包含所有的授权信息,不易于对不同范文或者是力度的一个资源进行精细化的访问控制)
Java实战:Spring Boot实现无感刷新Token机制
oandy0的博客
03-03 1564
本文将深入探讨如何在Spring Boot项目中实现无感刷新Token机制,并通过具体的示例代码,逐步引导读者掌握这一核心技术。
模仿某B长期登录有效之Token机制
weixin_53690059的博客
03-15 956
如需demo案例请私信我。小程序地址:https://github.com/CaseOfShe/school演示地址:https://www.bilibili.com/video/BV1q3411g71P。
token登录无感刷新
qq_46606917的博客
03-27 856
token登录
Token验证的代码
09-08
基于spring框架,数据交互是依据URLConnection进行数据传递的,参数在传递的过程使用RAS进行数据加密和MD5加密。
Token校验机制
swk1300524046的博客
10-17 663
Toekn机制,token
登录token方案
hijunmeng的专栏
05-11 7552
token方案 当我们需要用户在指定时间内有操作时就可以不用登录(首次登录还是免不了的),而在指定时间内没有任何操作时就需要重新登录的话,那么就需要对token方案进行一定设计 目前比较推荐的做法是使用token方案 用户在登录之后返回access_token和refresh_token(这里假定他们的有效期分别是2小时和7天) 当access_token过期时,则请求正常 ...
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1405
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
springboot+jwt实现token登陆权限认证的实现
08-19
主要介绍了springboot+jwt实现token登陆权限认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android使用token维持登陆状态的方法
01-04
在以后的网络请求时,客户端先查询本地的token,如果有则直接使用此令牌进行网络请求,没有则提示未登录,转到登陆注册界面。 此外,还可以在服务端或者客户端添加过期判别机制。 token的作用 token可以显著减少...
vue+koa2实现session、token登陆状态验证的示例
10-16
主要介绍了vue+koa2实现session、token登陆状态验证的示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Vue:token无感刷新
ruancexiaoming的博客
03-06 2610
refresh token的目的是在access token过期后,无需用户重新登录,客户端可以使用refresh token向认证服务器申请新的access token。为了保证安全性,refresh token一般具备一定的安全措施,例如限制其使用次数(防止无限刷新)、设置有效期(过期后必须重新登录)以及严格的存储策略(通常不会在客户端明文存储,而是存储在服务器端或经过加密存储在客户端本地)。用户登录时,通过用户名、密码或其他认证方式向认证服务器请求授权。src目录下创建以下两个文件。
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 5568
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken过期时间相当短,refreshToken过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1735
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
45.token无感熟悉以及解决sso单点登录限制
YouMing_Li的博客
11-30 1631
上文已经介绍了jwt的基本原理和用法,,本文将介绍token机制,以及sso单点登录。
后端判断token过期
05-26
后端判断 token 过期通常有两种方式: 1. 基于时间戳的过期判断:在生成 token 时,将当前时间戳和过期时间戳写入 token 中。在每次请求时,后端可以解析 token 中的时间戳和过期时间戳,判断 token 是否过期。 2. 基于黑名单的过期判断:在用户退出登录或者修改密码等操作时,将该用户的 token 加入到一个黑名单中。在每次请求时,后端可以判断 token 是否在黑名单中,如果是,则说明该 token 已经失效。 无论哪种方式,对于过期token后端需要返回相应的错误信息给前端,让用户重新登录或者刷新 token

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值