JWT的Token自动续期和主动终止

最新推荐文章于 2024-05-24 20:27:32 发布
最新推荐文章于 2024-05-24 20:27:32 发布
阅读量9.2k 收藏 46
点赞数 17
分类专栏: 学习笔记 文章标签: jwt java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/desky/article/details/114640840
版权

(1)JWT的续签问题和终止问题

  • JWT的优势在于无状态,也就是生成的Token中本身有存储信息(payload),所以不需要依赖Redis和DB。JWT本身也有有效期参与签名,问题在于这个有效期不能更改,也很好理解如果参与签名的参数(有效期)发生变化,Token也就不一样了。如果有效期不能改变,即便时间设计的再长,也会有到期的时候,而且Token这种设计初衷也不能有效期很长,导致用户在操作过程中Token到期授权失败,这种情况根本是无法接受的。

  • 另外,JWT的Token签发之后,理论上在到期之前是始终有效的,在有些场景下,比如用户更改/重置密码,踢出登录(单一用户登录),都需要让对应用户在其他电脑(终端)上自动退出登录,也就是要让其他的Token马上失效,所以需要额外设计来解决这两个问题。

(2)非JWT的授权流程

以前登录Token一般是放在服务端的Session中,Session有过期时间,也会自动延期,当然我们现在绝大部分项目都不会使用session来存储了。下面的方案用普通的UUID作为token,返回到前端后,前端每次请求都会带上这个token作为授权凭证。这种方案是能够自动续签,也能做到主动终止。我之前的很多项目都采用了这种也没什么大的问题。缺点就是需要依赖Redis和数据库。

 

(3)JWT的授权流程

  • 解决JWT自动续签有几个解决方案

    • 每次请求都返回新的Token,这种简单粗暴,不存在续签的问题,不过相信很多人不会用,请求量大的话性能损耗也是比较明显。

    • 生成的JWT,不加入过期时间,在服务端Redis额外存储一个对应的过期时间,并每次操作延期。这种设计感觉很多余,既然保存到了Redis,JWT从无状态变成了有状态,既然能够保存过期时间,为啥不把用户信息都保存到Redis中,何必用JWT加密后前后端传来传去没有意义。

    • 临近过期刷新JWT,返回新的Token,很多人也采用的是这种方案。

  • 主动终止问题

    • JWT签发后就生效,无法做到主动终止,我的方案还是用到了Redis,把用户id作为key,生成一个用户唯一ID(用户指纹)存入Redis,并参与JWT签发过程;

    • 如果更改了密码需要终止其他所有已经签发的JWT,只需要更改这个用户指纹;

    • 在JWT验签过程中,验证用户指纹,如果和JWT中信息不一致授权失败,也就是做到了主动终止JWT的目的。

    • 需要注意的是,在高并发过程中写入用户指纹过程可能要用到分布式锁。

 

debugyong
关注
  • 17
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
03-17
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
如何实现JWT Token自动续期
m0_54187478的博客
03-23 1293
访问令牌通常有较短的有效期,而刷新令牌有较长的有效期。当访问令牌接近过期时,可以使用刷新令牌来获取一个新的访问令牌,而不需要用户重新登录。
token 过期后,如何自动续期
最新发布
很多时候犯错都是在不知情的情况下发生的
05-24 288
如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。代码语言:javascript。
JWT 续期和服务下线
L的博客
06-14 756
传统httpsession和spring-session都是采用httpsession默认机制。内部会有线程不停的轮询会话列表。把那些内存中的会话列表中的过期时间和当前时间进行比较,如果超过> 30分钟 自动把session删除。如果在30以内的请求,会自动续期(时间会从0开始计数)。为什么要这样做?你思考。如果没有续期,会怎么样?就好比你登录腾讯游戏,你登录有效时间是30分钟。那么也就意味着你每隔30分钟要退出重新登录一次。所以我们应该是在你登录以后,未来的每一次请求中,只要用户一直在发起请求,就把时间永
SpringBoot3+Jwt+Redis的Token有效性检查以及自动续期的实现
fatfish517的博客
12-17 1308
1. 续期在后端完成,只给前端传递一个token,不采用两个token的方式,从而不增加前端工作量 2. 默认情况下解析Jwt token 时过期的token将抛出过期错误,因为需要自动续期,因此应忽略该错误。 3. token等信息保存在Redis中,并设置过期时间为token的过期时间。过期后保存信息自动删除 。修改此处过期时间实现延期 4. 记录每次前端请求的时间至Redis中。 5. 验证token有效性时,若距离最近一次请求的时差未超过定义的过期时间增量,则尝试进行续期操作
JWT 讲解与 token 过期自动续期解决方案
热门推荐
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 8302
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
JWT续期方案
weixin_41914013的博客
06-01 1065
在使用JWT方案的过程中也是遇到了其他的问题,一一解决后,对jwt理解更清晰了。网上给到的方案也挺多的,我没有一一尝试,大家可以根据具体情况选择合适的方案使用。在项目中不考虑性能情况下,我只想简单实现,能颁发token,能续期,能正常过期,能退出登录就可以了。这个方案是遇到了问题,后来就演变成这个方案了。- 后端返回给前端一个生成的Token,前端存在本地Localstorage中,每次请求API放在Header中。Token续期方案有很多,根据前后端自由搭配,自主设计只要没有bug,都没有问题。
SpringBoot 实现 JWT token 自动续期
weixin_44421461的博客
01-18 2316
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
JWT Token生成及验证
07-16
在C#中实现JWT Token的生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header(头部)、Payload(载荷)和Signature(签名)。头部通常包含令牌类型(`typ`...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
JWT优缺点及Token自动续期
青鱼入云的博客
01-03 510
参考文档: 《你知道JWT是什么吗?它和Session的区别又在哪里?》 《分布式集群环境下,如何实现每个服务的登陆认证?》
怎么使用jwttoken以及redis进行续期
ShiYueMemo37329的博客
04-07 645
如果续期,则生成一个新的 JWT,更新 Redis 中的相关信息,并将新的 JWT 返回给客户端。方法接受一个 JWT,并返回一个布尔值,指示该 JWT 是否有效。如果 JWT 有效,则返回。如果 JWT 即将过期,服务器可以发出一个新的 JWT,并更新 Redis 中的对应信息。客户端收到新的 JWT 后,将其替换掉旧的 JWT,并更新本地存储中的 Token。方法用新的 JWT 替换旧的 JWT,并更新本地存储中的 Token。服务器收到请求后,验证 JWT 的签名和有效期等信息,以确认其有效性。
JWT token过期后自动续期的解决方案
leeta的博客
08-20 3375
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
JWT 登录认证 + Token 自动续期方案,写得太好了!
weixin_68742131的博客
03-23 879
作者:何甜甜在吗过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读用户管理模块:如何保证用户数据安全。今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧。
jwt token自动续期
07-27
对于JWT(JSON Web Token),它本身是无状态的,不包含自动续期的机制。一旦JWT的过期时间到达,它就会失效,需要重新获取新的JWT。 要实现JWT自动续期,一种常见的做法是在客户端保存JWT的过期时间,并在每次请求中检查JWT的有效性。当JWT即将过期时,客户端可以发送一个特殊的请求到服务器,请求一个新的JWT。服务器端收到这个请求后,可以对客户端进行身份验证,并根据具体的业务需求决定是否颁发新的JWT。 另外一种方式是使用定时任务,在服务器端定期检查JWT的过期时间,并在即将过期时自动为客户端颁发新的JWT。这种方式需要服务器端维护一个任务调度器,并在适当的时机触发续期操作。 无论选择哪种方式,需要注意安全性问题。在进行续期操作时,要确保进行适当的身份验证和授权,以防止恶意用户或攻击者滥用续期功能。 总结来说,JWT自动续期可以通过在客户端或服务器端进行相应的处理实现。具体实现方式需要根据项目需求和安全考虑来决定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值