【紧急通知】token即将过期?通过代码分析自动续期的实现

已于 2023-12-21 15:11:24 修改
阅读量489 收藏 1
点赞数 1
分类专栏: token 文章标签: java spring boot 开发语言
于 2023-10-26 13:34:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TM007_/article/details/134050800
版权

目录

可以试想一下,当你正在奋笔疾书时,突然弹出登录信息已过期提示

样例代码(伪代码,只是过一下处理逻辑)

1.登陆的时候生成token,改为生成两个token,并利用redis分别设置过期时间

2.@AuthValid注解代码

总结

可以试想一下,当你正在奋笔疾书时,突然弹出登录信息已过期提示

        为了杜绝这中有害健康行为,就不得不对原有机制改造,

token时间长点?避免不了突然失效的情景

token永不过期?不安全,家被偷了都没发现

        这两种情况显然不可行,那就试试普遍使用的自动续期方式,该方式有很多种实现方案,下面这两种较常见

1.token快过期时自动续期,比如还剩半小时的时候,检测到时间不足自动续期

         该方案确实完成了自动续期,也可以及时增加时间,但是比如设置的是不足半小时自动续期,那我如果是在剩余35分钟的时候,触发了一次请求,下一次操作是四十分钟后了,这个时候已经过期了,而由于上次检测到该token是四十分钟之前,导致没有及时续期,登录信息已过期,再次发疯

2.双token,生成两个token accessToken(验证)和refreshToken(刷新),验证token过期时间短些,刷新token设置长一点的过期时间,接口请求调用验证token,验证token过期后,如果有刷新token并且没过期,生成一个验证token返回给前端,后续调用新的验证token即可

        双token方案比较灵活的处理了几种特殊情况,也是比较常用的,下面举个样例

一个普通管理系统,基于springboot框架。使用了aop中的@AuthValid注解方法,在有该注解的方法前会先执行该注解中的逻辑,一般就是鉴权

样例代码(伪代码,只是过一下处理逻辑)

先介绍下使用的几种常用工具类

redisUtil:通过封装原生redis操作方法,用于便利操作redis的工具类

jwtUtil:jwt生成token的工具,模板网上都差不多

Result():自定义异常处理类

1.登陆的时候生成token,改为生成两个token,并利用redis分别设置过期时间
            String jwttoken = jwtUtil.sign(jwtUserBO);
            String refreshToken = jwtUtil.signRefreshToken(jwtUserBO);
            redisUtil.set(String.format("accesstoken:%s", jwttoken), jwttoken,21600L);
            redisUtil.set(String.format("refreshToken:%s",jwttoken), refreshToken,64800L);
2.@AuthValid注解代码
@Around(value = "anyMethod()")
    public Object doAround(ProceedingJoinPoint pjp) throws Throwable {
        HttpServletRequest request = servletRequestAttributes.getRequest();
        String reqUrl = request.getRequestURI();
        String token = jwtUtil.getToken();
        if (!StringUtils.hasText(token)) {
            //请求头没有token,直接退出
            log.warn("no login!");
            return new Result().buildWithCustomMsg(false, "4300", MessageUtilsNew.get("common.no_logged_in"), null);
        }

            if (jwtUtil.isTokenExpired(token)) {
                String refreshToken = redisUtil.get("refreshToken:"+ token);
                if (!StringUtils.hasText(refreshToken) || jwtUtil.isTokenExpired(refreshToken)) {
            //refreshtoken为空或者过期,退出登录
            return new Result<>().buildWithCustomMsg(false, "4000", MessageUtilsNew.get("epro.token.invalid"), null);
        }
                //生成新token
                String newToken = createNewToken();
            //塞到请求头里,这样前端就可以拿到新的token
         httpServletResponse.setHeader("Authorization", " " + newToken);
        Object proceed = pjp.proceed();

        return proceed;
    }

 当然这种方案前后端需要协调,前端及时更新请求头里的token即可

总结

token自动续期方式
token定时检查续期方便实现,只需后端更改即可存在未及时续期情况
双token验证效率更高,适用的特殊情况更多需要前后端协调更改

我是小白,记录日常的小白,欢迎大佬们指点

在比萨斜塔吃披萨
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
JWT token过期自动续期的解决方案
leeta的博客
08-20 3348
在文中给出的例子中,仅实现了登录认证,但是并没有设置token过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
关于JWT Token 自动续期的解决方案
飘渺Jam的博客
07-16 7634
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
token 过期后,如何自动续期
最新发布
很多时候犯错都是在不知情的情况下发生的
05-24 161
如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期自动续期的方案,只有特定条件下才会让用户重新登录。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。代码语言javascript。
token自动续期方案
玉兰花秀丽
03-29 6438
该方法的好处:只需N(token的有效时间)分钟续期一次token就行,避免频繁续期 一、原理 登录生成token,有效期10分钟。 将token存入redis,key与value皆为token,有效期20分钟 token返回给前端 前端携带token访问后端,后端先从redis获取token 如果redis有token,则校验token是否到期 没有到期返回ture 到期了,则重新根据账户信息生成token信息,并将token放入redis当 中(注意redis的key不改变),有效期20分钟
SpringBoot 实现 JWT token 自动续期
weixin_44421461的博客
01-18 2297
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
springboot JWT Token 自动续期的解决方案
weixin_39255905的博客
03-25 4967
关于JWT Token 自动续期的解决方案 前言 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。 后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。 因为jwt token中一般会包含用户的基本信息,为了保证token的安全性,一般.
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器会生成一个带有时效性的`token...
Android OkHttp实现全局过期token自动刷新示例
01-20
自动更新token流程 要实现上述需求的话,大家会如何实现呢? 首先讲一下Token和Cookie吧 – cookie cookie是保存在本地终端的数据。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的...
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
03-17
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
到期提醒脚本
08-14
ROS到期提醒脚本,此脚本只是做与提醒,不会停用,希望有能力的人完善。
10 万字节Spring Boot +redis详细面试笔记(带完整目录)全新开源
2401_84102400的博客
04-13 360
本文从基础到高级再到实战,由浅入深,把MySQL讲的清清楚楚,明明白白,这应该是我目前为止看到过最好的有关MySQL的学习笔记了,我相信如果你把这份笔记认真看完后,无论是工作中碰到的问题还是被面试官问到的问题都能迎刃而解!MySQL50道高频面试题整理:网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)一个人可以走的很快,但一群人才能走的更远!
JWT 讲解与 token 过期自动续期解决方案
m0_55613022的博客
06-06 1001
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。使用token的好处: 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一
php时间到期提醒功能,php在某年月日之后过期(不受服务器本身时间设置影响)的代码分享...
weixin_36189723的博客
03-09 577
代码如下:/*** php在指定时间内过期* edit by www.jbxue.com*/while(! ($dataFile = @fopen('http://www.jbxue.com/6892.html', "r" )) ){sleep(2);}//$dataFile = fopen('data.txt', "r" ) ;$buffer = '';if ( $dataFile ){$buf...
redis中的token设置永不过期
weixin_51010510的博客
11-12 4966
做了一块展示企业信息的大屏,要求登录后生成的token永不过期 1.为redis封装一个set方法,参数中不设置过期时间。 2.在controller层中登录请求时调用该方法 .3.调用成功后,redis可视化工具中token过期时间为-1,即永不过期 ...
java设置token过期_Java面试问答小问题
weixin_42164534的博客
12-26 1830
问题是实际Java中高级面试中提取的,回答是我回答的,不足的地方大神们多多指点,我就是大白话解答一下,大致上没什么问题。1.redis的存储方式2.redis的缓存机制 redis本身是一个Nosql,我们可以用它做缓存,相较于传统的二级缓存的两个作用: 1)可以在集群环境使用。2)可以降低微服务...
ant design pro of vue token失效过期的解决
weixin_39061000的博客
08-31 801
在进入页面,请求接口后,返回token失效时做个拦截器,清掉缓存的相关数据,并进入登录页,重新登录 request.interceptors.response.use((response) => { if(response.data.code===1001){ storage.remove(ACCESS_TOKEN) storage.remove('userinfo') storage.remove('project') router.replace({ .
token自动续期如何实现
05-24
实现token自动续期时,通常会使用一些技术手段来保证token的有效期不会过期。以下是一些可能的实现方式: 1. 利用cookie技术,在客户端存储一个保存token的cookie,并设置cookie的过期时间。当用户每次访问网站时,服务器会检查cookie中的token是否过期,如果已过期则需要重新生成token并更新cookie。 2. 在客户端和服务器之间建立一个长连接,每隔一定时间发送一个心跳包。服务器在接收到心跳包后,会更新token的有效期。如果一段时间内没有收到心跳包,则认为token已经失效。 3. 使用refresh token机制,即在生成token的同时,还生成一个refresh token。当token过期时,客户端可以使用refresh token向服务器请求新的token。服务器会验证refresh token的有效性,并在通过验证后生成新的token并返回给客户端。 无论采用哪种方式,都需要注意安全问题,比如在传输过程中需要加密保护,避免被恶意攻击者截获或篡改。同时,也需要注意对token和refresh token的有效期进行合理的设置,避免出现过期或永久有效的情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

在比萨斜塔吃披萨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值