关于JWT设置过期时间无效的问题

已于 2023-01-16 10:40:30 修改
阅读量2.8k 收藏 2
点赞数 2
文章标签: java 后端
于 2023-01-14 20:27:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cn_ljr/article/details/128555966
版权

文章目录

一、项目场景

项目中需要使用到 JWT 来完成用户身份信息的认证

二、问题描述

使用 JWT 时设置过期时间无效
发现如果先调用 setExpiration 方法再调用 setClaims 方法,则会出现使用 JWT 设置过期时间无效的问题

Jwts.builder()
                .setId(UUID.randomUUID().toString())
                .setIssuedAt(new Date())
                .compressWith(CompressionCodecs.GZIP)
                .signWith(KEY, SignatureAlgorithm.HS512)
                .setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRATION_TIME_MILLIS))
                .setClaims(claims)
                .compact();

而如果先调用 setClaims 方法再调用 setExpiration 方法,则不会出现该问题

 Jwts.builder()
                .setId(UUID.randomUUID().toString())
                .setIssuedAt(new Date())
                .compressWith(CompressionCodecs.GZIP)
                .signWith(KEY, SignatureAlgorithm.HS512)
                .setClaims(claims)
                .setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRATION_TIME_MILLIS))
                .compact();

三、原因分析

查看 setExpiration 方法的源码,当我们设置了过期时间时 exp != null ,这时会走到 ensureClaims().setExpiration(exp);

@Override
public JwtBuilder setExpiration(Date exp) {
    if (exp != null) {
        ensureClaims().setExpiration(exp);
    } else {
        if (this.claims != null) {
            //noinspection ConstantConditions
            this.claims.setExpiration(exp);
        }
    }
    return this;
}

然后再查看 ensureClaims 方法的源码可以发现,如果我们没有事先设置 claims ,那么在这里会产生一个 DefaultClaims 对象赋值给 DefaultJwtBuilder 类的 claims 属性,这个对象将调用 setExpiration(exp) 方法设置过期时间

protected Claims ensureClaims() {
    if (this.claims == null) {
        this.claims = new DefaultClaims();
    }
    return this.claims;
}

但如果在这之后我们再调用 setClaims 方法,那么我们新设置的 claims 将重新赋值到 DefaultJwtBuilder 类的 claims 属性

 @Override
public JwtBuilder setClaims(Map<String, ?> claims) {
    this.claims = new DefaultClaims(claims);
    return this;
}

此时新构造出来的 DefaultClaims 对象没有进行设置过期时间的操作,这也就导致了最后生成的 token 没有过期时间
另一方面,setId 方法和 setIssuedAt 方法的源码跟上面 setExpiration 的源码类似,所以 setId 方法和 setIssuedAt 方法也应该在调用 setClaims 方法后再进行调用

@Override
    public JwtBuilder setId(String jti) {
        if (Strings.hasText(jti)) {
            ensureClaims().setId(jti);
        } else {
            if (this.claims != null) {
                claims.setId(jti);
            }
        }
        return this;
    }

@Override
    public JwtBuilder setIssuedAt(Date iat) {
        if (iat != null) {
            ensureClaims().setIssuedAt(iat);
        } else {
            if (this.claims != null) {
                //noinspection ConstantConditions
                this.claims.setIssuedAt(iat);
            }
        }
        return this;
    }

四、解决方案

生成 JWT 时应该最先调用 setClaims 方法再调用其他的 setXXX 方法

Jwts.builder()
                .setClaims(claims)
                .setId(UUID.randomUUID().toString())
                .setIssuedAt(new Date())
                .compressWith(CompressionCodecs.GZIP)
                .signWith(KEY, SignatureAlgorithm.HS512)
                .setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRATION_TIME_MILLIS))
                .compact();
cn_ljr
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
php jwt设置有效期,07-如何设置JWT过期时间
weixin_39842937的博客
03-27 5294
参考页面要想设置JWT过期时间。需要在payload中增加 exp 此字段。这个字段是JWT内部约定的。用来表示过期时间{    "iss":"http://example.org",//非必须。issuer请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。"iat":1356999524,//非必须。issuedat。token创建时间...
java jwt jar包
06-15
4. **处理过期时间**: JWT可以在载荷中包含一个`exp`(到期时间)字段,jjwt库会自动处理过期检查: ```java Date expiration = claims.getExpiration(); // 获取到期时间 if (expiration.before(new Date())) {...
JWT 的 Token 过期时间为什么没有生效
somenzz的博客
09-28 2019
在我第一次在 DRF(Django REST Framework)中使用 JWT 时,感觉 JWT 非常神奇,它即没有使用 session、cookie,也不使用数据库,仅靠一段加密的字符...
redis缓存token设置jwt令牌过期时间
2202_75352238的博客
05-30 925
在上文中 我们已经设置了自定义登录接口自定义拦截器jwt登录校验接口模拟账号登录_jwt自定义拦截器-CSDN博客但是上文jwt过期时间是由yml文件中配置的,比较不优雅,我们今天来用redis缓存token 的方法来进行 jwt过期设置
JWT 设置token过期时间无效
zona
03-18 4万+
原因: 设置超时时间的顺序有误, 应调用setClaims()方法设置claims属性。 在调用setExpiration()方法设置超时时间。 Date expiresDate = new Date(System.currentTimeMillis() + expire_time);// expire_time为token有效时长, 单位毫秒 错误顺序示例: JwtBuilder r...
解决asp.net core JWT token过期时间无效
kan_kongzhizhen的博客
05-10 419
关于asp.net core JWT token令牌已到过期时间仍然有效问题
API接口之JWT设置token过期时间(二)
尼古拉斯大树的博客
10-11 6万+
目录 1.什么是Jwt 2.token是什么 3.为什么要使用token 4.如何实现token 5.JWT的简单案例 6.API接口token案例 6.1 token的创建 6.2 用户验证流程 7.测试流程 7.1 项目地址 7.2 表结构 1.什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成tok...
php-jwt 过期,jwt-auth ttl 过期设置为 null 的坑
weixin_32937021的博客
04-04 1016
jwt-auth 配置文件如果ttl 的过期时间设置为null的话请将下面的required_claims 数组中的exp 这个过期必要字段注释掉。因为在检查比对的时候 如果ttl 设置为null 程序会把exp字段从default claim选项中删除,导致token永远产生不出来但是会报一个异常 ,如果有写异常检查的话很容易发现,如果没有下异常处理,那只能像我一样,把代码翻一遍了。定位文件位置...
记.Net Web Api 使用JWT发现过期时间到了后还能继续访问得问题
Clown_CJ的博客
03-08 437
Net Web Api 使用JWT发现过期时间到了后还能继续访问得问题
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
net6Jwt.zip
12-02
6. **刷新JWT**:为了处理JWT过期问题,通常会提供一个刷新令牌的机制。当JWT接近过期时,客户端可以使用刷新令牌来获取新的JWT,而不必重新登录。 7. **错误处理**:确保在API中处理JWT验证失败的情况,例如,当...
JWTTest_netty.netcore_jwt_
10-02
4. **安全性考虑**:JWT通常设置一个过期时间(TTL,Time To Live),过期JWT无效。此外,JWT应被存储在安全的地方,例如HTTP Only的Cookie,防止XSS攻击。项目可能还会涉及到JWT的刷新机制,当JWT即将过期时,...
Jwt参考代码
01-29
5. **错误处理**:在处理JWT时,可能会遇到签名无效过期、格式错误等问题。参考代码应提供相应的异常处理机制,以便在这些情况下给出明确的反馈。 6. **JWT的安全性**:虽然JWT提供了安全的数据传输,但如果不...
JWT实例demo
02-01
2. 验证JWT的有效性,包括检查签名、过期时间(exp)以及其他自定义声明。 3. 如果JWT有效,可以从负载中解析出用户信息,并将其存储在请求上下文中,以便后续的控制器或服务层可以访问。 4. 如果JWT无效,过滤器将...
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 508
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 565
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 333
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 649
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
jwt 如何加长过期时间
05-31
如果需要延长 JWT过期时间,可以对已有的 JWT 进行解码并重新生成一个新的 JWT。具体步骤如下: 1. 解码已有的 JWT,获取其中的负载信息和过期时间。 2. 判断当前时间是否已经超过了过期时间。 3. 如果未超过过期时间,直接返回原始 JWT。 4. 如果已经超过过期时间,更新负载中的 `exp` 字段,重新生成一个新的 JWT。 以下是一个示例代码: ```python import jwt import time # 假设这是一个已经生成的 JWT jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjM0NTYsImV4cCI6MTYyNjIwMDAwMH0.WzJ5x0hJG6B7Yh5N5JU9fzf2YeVvXK7vWxX9C5NkCf8' try: # 解码 JWT,获取负载信息和过期时间 payload = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) exp_time = payload['exp'] # 判断是否已经超过过期时间 if time.time() < exp_time: # 未超过过期时间,直接返回原始 JWT new_jwt_token = jwt_token else: # 超过过期时间,更新负载中的 exp 字段 payload['exp'] = int(time.time()) + 3600 # 延长 1 小时 # 重新生成一个新的 JWT new_jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') except jwt.exceptions.InvalidSignatureError: # JWT 签名无效,可能被篡改过 new_jwt_token = None ``` 需要注意的是,JWT 是无状态的,每次延长过期时间都需要重新生成一个新的 JWT。因此,如果需要频繁延长 JWT过期时间,可能会对系统性能产生一定的影响。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值