SpringBoot3+Jwt+Redis的Token有效性检查以及自动续期的实现

已于 2023-12-17 10:36:47 修改
阅读量606 收藏 5
点赞数
分类专栏: # vue3项目实例 SpringMVC 文章标签: redis 缓存 java spring boot
于 2023-12-17 10:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fatfish517/article/details/135041497
版权

环境

springboot 3.1.5
maven:3.6.1
java:17

思路

  1. 续期在后端完成,只给前端传递一个token,不采用两个token的方式,从而不增加前端工作量
  2. 默认情况下解析Jwt token 时过期的token将抛出过期错误,因为需要自动续期,因此应忽略该错误。见代码片段1
  3. token等信息保存在Redis中,并设置过期时间为token的过期时间。过期后保存信息自动删除 。修改此处过期时间实现延期
  4. 记录每次前端请求的时间至Redis中。
  5. 验证token有效性时,若距离最近一次请求的时差未超过定义的过期时间增量,则尝试进行续期操作。见代码片段2。代码注解很详细,就不在重复

代码片段1

  /**
     * 获取Claims
     *
     * @param bearerToken 带前缀的token
     * @return Claims
     */
    public static Claims getClaims(String bearerToken) {
        if (StringUtils.isBlank(bearerToken)) {
            return null;
        }
        Claims claims = null;
        try {
            String token = formBearerTokenToToken(bearerToken);
            if (StringUtils.isNotBlank(token)) {
                claims = Jwts.parser().setSigningKey(JwtParams.getSecret()).parseClaimsJws(token).getBody();
            }
        } catch (ExpiredJwtException e) {
            //过期依然返回claims
            claims = e.getClaims();
//            log.info("获取Claims时已过期, Error:{}; token:{}", e.getLocalizedMessage(), bearerToken);

        } catch (Exception e) {
            log.info("获取Claims时出错,token:{}; Error:{}", bearerToken, e.getLocalizedMessage());
        }
        return claims;
    }

代码片段2

 /**
     * @description 判断request的token是否有效,若过期尝试自动续期
     * <br>
     * <pre>
     *     判断及操作流程:
     *     1.从request中获取token,其是否格式正确(前缀及签发者)且含有userId。为假,直接返回false
     *     2.判断request中token是否与cache中的token一致。不一致,直接返回false
     *     3.request中的token,是否未过期
     *       3.1 token未过期,直接返回true!!
     *       3.2 token过期,判断最后一次操作与当前时间差是否超过配置的过期时间增量(JwtParams.getExpireTime())
     *         3.2.1 超过配置的过期时间增量,返回false
     *         3.2.2 未超过,尝试自动续期
     *           3.2.2.1 自动续期成功,返回true!!
     *           3.2.2.2 自动续期失败,返回false
     * <pre>
     * @param request    request
     * @return boolean 是否成功
     * @author MuYi
     * @date 2023/12/12 12:57
     */
    public boolean tokenIsValid(HttpServletRequest request) {
        if (request == null) return true;
        String bearerToken = JwtTokenUtils.getToken(request);
        // 验证request是否格式及签发者正确、是否含userId
        if (!JwtTokenUtils.tokenIsCorrect(bearerToken)) return false;
        Long userId = JwtTokenUtils.getUserId(bearerToken);
        if (userId == null) return false;
        String requestInfo = request.getLocalAddr() + ":" + request.getLocalPort() + request.getRequestURI();
        // 验证request与cache中的token是否一致
        String cacheToken = JwtCacheUtils.getTokenFromCache(userId);
        //cache中无token。表示用户未登录或已注销或系统重启
        //依据前提:
        // 1 token的核验以cache中的token为准
        // 2 当用户登录时cache中保存其token
        // 3 当用户注销时、系统关闭时删除其cache中的token
        if (cacheToken == null) {
            forceLogout(userId, "使用已注销令牌", requestInfo);
            return false;
        }
        if (!bearerToken.equals(cacheToken)) {
            forceLogout(userId, "令牌不一致", requestInfo);
            return false;
        }
        // 验证request中的token是否未过期
        if (!JwtTokenUtils.tokenIsExpired(bearerToken)) return true;
        //验证距离最后一次操作时间是否超过配置的过期时间增量
        Long lastOperateTime = JwtCacheUtils.getLastOperateTime(userId);
        //计算距离最后一次操作时间差,增加TOKEN_ADVANCE_CHECK_TIME时间量,以免出现误差
        long diff = System.currentTimeMillis()+TOKEN_ADVANCE_CHECK_TIME - lastOperateTime;
        if (diff > JwtParams.getExpireTime()) {
            forceLogout(userId, "令牌过期", requestInfo);
            return false;
        }
        //尝试自动续期
        Boolean renewal = JwtCacheUtils.renewalTokenExpireTime(userId);

        if (renewal) {
            return true;
        } else {
            forceLogout(userId, "尝试自动续期失败", requestInfo);
            return false;
        }
    }

    protected void forceLogout(Long userId, String msg, String requestInfo) {
        try {
            log.info("{},将强制用户(ID={})退出。(request:{})", msg, userId, requestInfo);
            logoutProcess(userId);
//                request.setAttribute("renewal",false);
        } catch (Exception e) {
            log.info("{},将强制用户(ID={})退出。(request:{})。发生错误{}", msg, userId, requestInfo, e.getLocalizedMessage());
        }
    }
muyi517
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 1.快速搭建springboot+mybatis-plus代码自动生成器的后端框架https://blog.csdn.net/pengpm/article/details/124047191?spm=1001.2014.3001.5501 2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多门店等功能,更适合企业或个人二次开发; yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多门店等功能,更适合企业或个人二次开发; yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多门店等功能,更适合企业或个人二次
SpringBoot+JWT+redis实现拦截器(每次请求更新token过期时间)
努力努力再努力
10-28 1937
【代码】SpringBoot+JWT+redis实现拦截器(每次请求更新token过期时间) SpringBoot+JWT+redis实现拦截器(每次请求更新token过期时间) 1. redis(用来存储token以及登录有效期,如果没有不用redis,token可以存在session或者cookie里) 2. 每次请求延长过期时间.生成的token有效期设置长一些,存到redis里面,每次请求查看redis是否有token,如果有请求成功redis延长,如果没有就代表在规定时间内没有请求过则登录失效,重
SpringBoot项目集成Redis+JWT实现系统登录token校验
热门推荐
网络备忘录,总结记录Java开发的坑和道,如果文章对你有帮助,不妨关注一波~
03-07 4万+
SpringBoot项目集成Redis+JWT实现系统登录token校验
SpringBoot 实现 JWT token 自动续期
weixin_43924444的博客
01-19 393
接上次说的jwt作为用户登陆验证token,这次聊一下token自动续期实战。
最新SpringBoot实现JWT+延续token过期时间+修改密码失效token -超简单
qq_39909614的博客
09-09 1万+
废话不多说直接上代码,五步完成第一步引入依赖 第二步JWT工具类,分别实现了【创建token】【获取用户信息】【验证用户是否修改过密码】【是否需要生成新token】 第三步自定义个注解,用来标注哪些方法是需要验证token的 第四步创建一个拦截器 第五步 配置拦截器 大功告成 用就可以了...
jwt判断token是否过期_SpringBootSecurity学习(13)前后端分离版之JWT
weixin_39608063的博客
11-26 1402
JWT 使用前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。一种解决方...
SpringBoot项目整合jwtredis完成登录token校验(含原理解析)
Barry_Li1949的博客
11-27 1184
1、引入JWT依赖: 通过在项目的pom.xml添加JWT依赖,使得项目能够使用JWT相关的功能。2、实现JWT工具类: 创建一个JwtUtil类,用于生成和解析JWT。createJWT方法用于创建一个新的JWT,而parseJWT方法用于验证和解析一个已存在的JWT。3、登录接口实现: 在登录接口,首先验证用户的登录信息,然后使用JwtUtil生成JWT。这个JWT会被返回给用户,并存储在Redis,用于后续的请求验证。
Spring boot 集成jwt 实现请求认证(带有过期时间)
小米吃辣椒的博客
04-23 6395
一、添加依赖 <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> ...
springboot 集成jwt设置过期时间_玩转springboot2.x之整合JWT
weixin_39638859的博客
11-26 800
点击上方"Java学习之道",选择"关注"公众号优秀文章,第一时间收到!文章已获得原作者授权,原文地址:https://zhuoqianmingyue.blog.csdn.net/article/details/827517871 如何学习jwt在这里我们来探讨一下如何学习一门新的技术,我个人总结为 RSA。1、R:read 去读官方文档 ,2、S:search 谷歌或百度先关技术文章或...
SpringBoot-Redis实现分布式锁的两种方式,支持续约
smile2coder的博客
04-03 890
Redis事务实现 package com.example.redis.command; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.stereo...
SpringBoot+Token+Redis+Lua+自动续签极简分布式锁Token登录方案
qq1016499728博客
05-13 1116
分布式token锁登录方案
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码可以学习security的权限配置,菜单权限,注解权限等 有学习SPI机制的学习
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v3.1.2 包含 代码生成器 文档swagger2, 使用jwt采用token有效期内刷新机制更新Token。 项目已实现功能包括: 用户登录 用户管理 角色管理 权限管理 菜单管理
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
springboot使用jwt
03-06
springboot结合jwt进行restful接口权限认证 https://www.jianshu.com/p/e6421dbaac4a
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
03-10
自2017年正式上线以来,小程序凭借其便捷性、易获取性和出色的用户体验迅速获得市场认可,并成为连接线上线下服务的重要桥梁。 小程序的核心特点包括: 零安装:用户只需通过微信扫一扫或搜索功能,即可打开和...
Redis 实战之压缩列表
最新发布
奔走的蚂蚁的博客
05-04 810
压缩列表是一种为节约内存而开发的顺序型数据结构。压缩列表被用作列表键和哈希键的底层实现之一。压缩列表可以包含多个节点,每个节点可以保存一个字节数组或者整数值。添加新节点到压缩列表, 或者从压缩列表删除节点, 可能会引发连锁更新操作, 但这种操作出现的几率并不高。
redis之地理空间GEO
qq_63214872的博客
05-02 355
redis之地理空间GEO
springboot+shiro+jwt+redis
08-18
Spring Boot是一个开源的Java框架,用于构建独立的、可执行的、生产级的Spring应用程序。它极大地简化了Spring应用程序的搭建和部署过程,提供了一整套开箱即用的特性和插件,极大地提高了开发效率。 Shiro是一个强大且灵活的开源Java安全框架,提供了身份验证、授权、加密和会话管理等功能,用于保护应用程序的安全。它采用插件化的设计,支持与Spring等常用框架的无缝集成,使开发者能够轻松地在应用程序添加安全功能。 JWT(JSON Web Token)是一种用于在客户端和服务端之间传输安全信息的开放标准。它使用JSON格式对信息进行包装,并使用数字签名进行验证,确保信息的完整性和安全性。JWT具有无状态性、可扩展性和灵活性的特点,适用于多种应用场景,例如身份验证和授权。 Redis是一个开源的、高性能的、支持多种数据结构的内存数据库,同时也可以持久化到磁盘。它主要用于缓存、消息队列、会话管理等场景,为应用程序提供高速、可靠的数据访问服务。Redis支持丰富的数据类型,并提供了强大的操作命令,使开发者能够灵活地处理各种数据需求。 综上所述,Spring Boot结合Shiro、JWTRedis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;Redis作为缓存和持久化数据库,提供了高速、可靠的数据访问服务。通过使用这些技术,开发者能够快速、高效地构建出符合安全和性能需求的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

muyi517

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值