JWT 设置token过期时间无效

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量4.6w 收藏 17
点赞数 4
分类专栏: Java基础学习 文章标签: jwt token过期无效
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/changerzhuo_319/article/details/88648124
版权

原因: 设置超时时间的顺序有误, 应调用setClaims()方法设置claims属性。 在调用setExpiration()方法设置超时时间。

Date expiresDate = new Date(System.currentTimeMillis() + expire_time);// expire_time为token有效时长, 单位毫秒

错误顺序示例: 

JwtBuilder result = Jwts.builder()
                .setExpiration(date) // 超时时间设置在 setClaims之前
		.setClaims(claims) 
		.signWith(SignatureAlgorithm.HS256, Constants.BASE64SECRET);

正确顺序示例:

JwtBuilder result = Jwts.builder()
		.setClaims(claims) // 先调用setClaims, 在调用setExpiration
		.setExpiration(date)
		.signWith(SignatureAlgorithm.HS256, Constants.BASE64SECRET);

 

原因分析:

//io.jsonwebtoken.impl.DefaultJwtBuilder#setExpiration 中代码
    @Override
    public JwtBuilder setExpiration(Date exp) {
        if (exp != null) {
            // 设置的时间不为空,就调用ensureClaims方法
            ensureClaims().setExpiration(exp);
        } else {
            if (this.claims != null) {
                //noinspection ConstantConditions
                this.claims.setExpiration(exp);
            }
        }
        return this;
    }


// io.jsonwebtoken.impl.DefaultJwtBuilder#ensureClaims 中代码
    protected Claims ensureClaims() {
        // 如果claims为null, 则创建新的示例。 此处没有问题
        if (this.claims == null) {
            this.claims = new DefaultClaims();
        }
        return this.claims;
    }

// io.jsonwebtoken.impl.DefaultJwtBuilder#setClaims(io.jsonwebtoken.Claims) 中代码
    @Override
    public JwtBuilder setClaims(Claims claims) {
        // 直接给claims赋值, 这里个操作覆盖了之前设置的超时时间,
        // 导致最终构造token时, 没有设置超时时间
        this.claims = claims;
        return this;
    }

 

changerzhuo
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
.net core 3.1 jwt刷新token
07-05
当access token过期时,客户端可以使用refresh token向服务器请求新的access token,而无需重新进行完整的身份验证过程。 3. .NET Core 3.1 JWT实现:在.NET Core中,可以使用Microsoft.AspNetCore.Authentication....
JWT小工具
wjs_1997的博客
09-23 335
/** * The most handsome man. * User: jason.Wang * Date: 2020/9/23 * Time: 22:19 * Description: */ /** * JWT工具类 */ public class JwtUtil { //有效期为 public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000 一个小时 //设置秘钥明文 public st.
java-jwt工具类
2401_84010061的博客
04-01 803
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!” />
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 851
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
JWT详解
个人博客
05-24 921
JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请
java加密算法之JWT
热门推荐
剑行歌之
06-04 1万+
加密 字符串 public static String token(String subject, String secretKey, Date date) { Key key = decodeKey(secretKey); String token = Jwts.builder().setExpiration(date).setSubject(subject).signWith(SignatureAlgorithm.HS256, key).compact(); String bas
关于JWT设置过期时间无效的问题
cn_ljr的博客
01-14 2822
关于JWT设置过期时间无效的问题
jwt使用实战
xuxiake的博客世界
05-15 1357
what is jwt? json web token,主要是用来做认证的,因为他是基于数字签名的 ,所以安全性贼高,是一种协议,本身是json格式,支持跨语言,同时它由三部分组成header(用于说明加密算法和说明是jwt),playload(传输用户需要携带的脱敏业务信息),signature(用来对前两部分进行签名认证的,防止篡改),由于jwt使用使用base64进行对称加密,所以不要传...
JWT 创建和解析
weixin_40974880的博客
06-09 1760
1、创建、解析demo public class JwtTest { public static void createJwt(){ long l = System.currentTimeMillis(); long exp = l+1000*60;//过期时间1分钟 JwtBuilder jwtBuilder = Jwts.builder().setId(“1”) .setSubject(“张三”) .setIssuedAt(new Date()) .setExpiration(new Date(exp
spring boot+jwt实现api的token认证详解
08-26
在实际应用中,你需要在每次API请求时检查Token的有效性,并根据需要处理过期无效或错误的Token。你可以创建一个过滤器(Filter)来拦截每个请求并执行这个验证过程。 除了验证过期时间外,还可以通过`Claims`...
web api JWT token认证
04-24
JWT令牌通常包含一个过期时间(exp claim),超过这个时间后,令牌将被视为无效。此外,还可以设置刷新令牌(Refresh Token)机制,当JWT过期时,客户端可以用刷新令牌获取新的JWT,而无需重新登录。 6. **安全性...
springSecurity-jwt:JWT access_token和refresh_token
04-10
accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时如果将AccessToken的有效时间设置得较长,则很...
详解ASP.NET Core Web Api之JWT刷新Token
12-16
见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期中使用访问令牌,也就是说存在冒充用户身份,此时...
JWT 在应用中一些理解
m0_69573649的博客
05-30 238
客户端在后续的请求中可以携带这个 JWT 字符串作为身份认证凭证,服务器接收到请求后可以解密 JWT 字符串并验证其完整性和真实性,从而确定请求的真实发起者和权限等级,进而执行相应的业务逻辑。具体来说,当服务器生成 JWT 时,它会使用一个密钥对 JWT 的头部和载荷进行签名,生成一段不可逆转的字符串。在签名验证过程中,接收方使用同样的算法对原始数据和签名进行计算,生成一个新的签名,并将这个新的签名与原始签名进行比较。因此,密钥的作用是确保 JWT 的完整性和真实性,防止 JWT 被篡改或伪造。
spring boot :JWT 令牌工具类
幻辰科技 nbhctec.com
07-19 190
1、需要配置application.yml文件 2、pom.xml 依赖文件配置 <dependencies> <!-- web依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifact
jwt的封装与使用
小先生编程
01-28 885
jwt封装代码如下 package util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.boot.contex...
delphi开源JWT
weixin_30641999的博客
04-06 386
delphi开源JWT 开源GIT地址:https://github.com/paolo-rossi/delphi-jose-jwt JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 下列场景中使用JSON Web Token是很有用的: ...
jwt实现
m0_72729869的博客
07-29 3742
JSONWebtoken简称JWT,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWTS的应用程序不再需要保存有关其用户的cookie或其他session数据。此特性便于可伸缩性,同时保证应用程序的安全。...
带你快速了解jwt
qq_41875121的博客
10-07 166
愿你生命中有够多的云翳,造就一个美好的黄昏 欢迎关注公众号【渣男小四】,一个喜欢技术更喜欢艺术的青年 一.介绍   JWT是JSON Web Token 的简写,Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也...
jwt怎么把token置为无效
06-08
JWT(JSON Web Tokens)是一种基于 JSON 的开放标准,用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证和授权。一旦 JWT 被签发并且发送给客户端,服务器无法直接将其置为无效。但是,可以采取以下几种方法: 1. 短暂有效期:在签发 JWT 时,设置一个相对较短的有效期。一旦 JWT 过期,客户端需要重新请求一个新的 JWT。 2. 撤回黑名单:将撤回的 JWT 添加到一个黑名单中,当客户端发送一个请求时,服务器会检查 JWT 是否在黑名单中。如果在,则服务器拒绝该请求。 3. 更改密钥:在某些情况下,可以通过更改 JWT 签名所使用的密钥来使 JWT 失效。这样,无法使用旧密钥验证 JWT,因此 JWT无效。 需要注意的是,以上方法都不是完全可靠的,因为在某些情况下,客户端可能会继续使用旧的 JWT。因此,建议采取一些其他措施来确保安全,例如使用 HTTPS 协议传输 JWT
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值