SpringBoot3+Jwt+Redis的Token有效性检查以及自动续期的实现

已于 2024-06-04 10:12:32 修改
阅读量1.7k 收藏 12
点赞数 8
分类专栏: # vue3项目实例 SpringMVC 文章标签: redis 缓存 java spring boot
于 2023-12-17 10:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fatfish517/article/details/135041497
版权

环境

springboot 3.1.5
maven:3.6.1
java:17

思路

  • 续期在后端完成,只给前端传递一个token,不采用两个token的方式,从而不增加前端工作量
  • 默认情况下解析Jwt token 时过期的token将抛出过期错误,因为需要自动续期,因此应忽略该错误。见代码片段1
  • token等信息保存在Redis中,并设置过期时间为token的过期时间。过期后保存信息自动删除 。修改此处过期时间实现延期
  • 记录每次前端请求的时间至Redis中。
  • 验证token有效性时,若距离最近一次请求的时差未超过定义的过期时间增量,则尝试进行续期操作。见代码片段2。代码注解很详细,就不在重复

代码片段1

  /**
     * 获取Claims
     *
     * @param bearerToken 带前缀的token
     * @return Claims
     */
    public static Claims getClaims(String bearerToken) {
        if (StringUtils.isBlank(bearerToken)) {
            return null;
        }
        Claims claims = null;
        try {
            String token = formBearerTokenToToken(bearerToken);
            if (StringUtils.isNotBlank(token)) {
                claims = Jwts.parser().setSigningKey(JwtParams.getSecret()).parseClaimsJws(token).getBody();
            }
        } catch (ExpiredJwtException e) {
            //过期依然返回claims
            claims = e.getClaims();
//            log.info("获取Claims时已过期, Error:{}; token:{}", e.getLocalizedMessage(), bearerToken);

        } catch (Exception e) {
            log.info("获取Claims时出错,token:{}; Error:{}", bearerToken, e.getLocalizedMessage());
        }
        return claims;
    }

代码片段2

 /**
     * @description 判断request的token是否有效,若过期尝试自动续期
     * <br>
     * <pre>
     *     判断及操作流程:
     *     1.从request中获取token,其是否格式正确(前缀及签发者)且含有userId。为假,直接返回false
     *     2.判断request中token是否与cache中的token一致。不一致,直接返回false
     *     3.request中的token,是否未过期
     *       3.1 token未过期,直接返回true!!
     *       3.2 token过期,判断最后一次操作与当前时间差是否超过配置的过期时间增量(JwtParams.getExpireTime())
     *         3.2.1 超过配置的过期时间增量,返回false
     *         3.2.2 未超过,尝试自动续期
     *           3.2.2.1 自动续期成功,返回true!!
     *           3.2.2.2 自动续期失败,返回false
     * <pre>
     * @param request    request
     * @return boolean 是否成功
     * @author MuYi
     * @date 2023/12/12 12:57
     */
    public boolean tokenIsValid(HttpServletRequest request) {
        if (request == null) return true;
        String bearerToken = JwtTokenUtils.getToken(request);
        // 验证request是否格式及签发者正确
        if (!JwtTokenUtils.tokenIsCorrect(bearerToken)) {
            return false;
        }
        Long userId = JwtTokenUtils.getUserId(bearerToken);
        // 验证令牌是否含userId
        if (userId == null) {
            log.info("token({})内无法解析有效用户id", bearerToken);
            return false;
        }
        //以上检查request中的token格式及签发者是否正确、否含userId
        //以下检查request与cache中的token是否一致
        String cacheToken = JwtCacheUtils.getTokenFromCache(userId);
        String requestInfo = request.getLocalAddr() + ":" + request.getLocalPort() + request.getRequestURI();
        //cache中无token。表示用户未登录或已注销或系统重启
        //依据前提:
        // 1 token的核验以cache中的token为准
        // 2 当用户登录时cache中保存其token
        // 3 当用户注销时、超时、系统关闭时删除其cache中的token
        if (cacheToken == null) {
            forceLogout(userId, "使用已被注销令牌", requestInfo);
            return false;
        }
        if (!bearerToken.equals(cacheToken)) {
            forceLogout(userId, "令牌不一致", requestInfo);
            return false;
        }
        // 已不再考察request中token的过期时间
        //        // 验证request中的token是否未过期
        //        if (!JwtTokenUtils.tokenIsExpired(bearerToken)) return true;

        //验证距离最后一次操作时间是否超过配置的过期时间增量
        long lastOperateTime = JwtCacheUtils.getLastOperateTime(userId).getTime();
        long currentTime = System.currentTimeMillis();
        //计算距离最后一次操作时间差,增加TOKEN_ADVANCE_CHECK_TIME时间量,以免出现误差
        long diff = currentTime + TOKEN_ADVANCE_CHECK_TIME - lastOperateTime;
        //时间差大于过期时间增量,表示令牌过期
        if (diff > JwtParams.getExpireDuration()) {
            forceLogout(userId, "令牌过期", requestInfo);
            return false;
        }
        //时间差小于配置的过期时间增量,表示令牌未过期。需计算局里上一次需求时差,避免频繁更新cache
        //尝试自动续期
        diff = currentTime - lastOperateTime;
        if (diff >= TOKEN_ADVANCE_CHECK_TIME) {
            // 在尝试自动续期前应用防抖逻辑
            String debounceKey = "renewalToken:" + userId;
            DebounceUtil.debounce(debounceKey, userId, (userIdToRenew) -> {
                Date renewalDate = JwtCacheUtils.renewalTokenExpireTimeout(userId);
                if (renewalDate == null) 
                    forceLogout(userId, "尝试自动续期失败", requestInfo);                
            }, ANTI_SHAKE_DELAY); // 假设设置防抖延迟为500毫秒
        }
        return true;
    }

    protected void forceLogout(Long userId, String msg, String requestInfo) {
        try {
            log.info("{},将强制用户(ID={})退出。(request:{})", msg, userId, requestInfo);
            logoutProcess(userId);
//                request.setAttribute("renewal",false);
        } catch (Exception e) {
            log.info("{},将强制用户(ID={})退出。(request:{})。发生错误{}", msg, userId, requestInfo, e.getLocalizedMessage());
        }
    }

BUG修复

  • 2024.6.4

    • tokenIsValid方法逻辑错误
      由于采用后台核对cache的token过期信息,且前端request中的token亦从未更新,因此不应再考察request中token的过期时间,否则整个方法逻辑都是错误的。所以,移除if (!JwtTokenUtils.tokenIsExpired(bearerToken)) return true;代码
    • 防抖函数应用
      由于tokenIsValid在某一个会被接连调用譬如间隔1毫秒。导致renewalTokenExpireTimeout(userId)方法可能在几毫秒内被多次调用,因此增加防抖函数。
      此方法非必须。
muyi517
关注
专栏目录
jwttoken自动续约_SpringSecurity Jwt Token 自动刷新的实现
weixin_39954569的博客
12-21 1966
功能需求最近项目有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token自动延长要实现 token自动延...
JWT 实现登录认证 + Token 自动续期方案!
m0_71777195的博客
11-06 263
过去这段时间主要负责了项目的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章介绍了,可以阅读用户管理模块:如何保证用户数据安全。今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧。
Jwt选型和实现
qq_45317823的博客
02-19 540
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
Innocence_0的博客
03-06 1573
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!
JWT双令牌认证实现无感Token自动续约
最新发布
八戒的博客
08-25 1075
Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,服务端会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token 的 scope 字段是否包含特定的权限项目,从而决定是否返回资源。通常有效时间通常较短。通常用户在获取资源的时候需要携带,当过期后,用户需要获取一个新的 AccessToken。这时候就需要了。用于获取新的。这样可以缩短。
SpringBootJWT+TokenToken自动续期
低调做人,低调编码,神码都是浮云
05-31 992
Springboot+jwt+token实现token认证
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
qq_44286009的博客
06-10 2516
jwt理论介绍springboot+vue项目使用jwt实现登录认证本篇文章的代码是在springboot+vue项目使用jwt实现登录认证的基础上实现Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
Redis实现JWT(JSON Web TOKEN自动延长TOKEN过期时间
m0_58032776的博客
02-28 1956
JWT是JSON WEB TOKEN的简写,常用于生成及校验Token。常见的使用场景为:用户携带name和秘钥访问后端服务器,应用后端在校验通过后使用JWT生成并返回一串Token,后续用户只需要携带此Token就可以访问服务器,在此不多赘述。本文目的是基于redis实现token自动更新其过期时间,在校验用户姓名和密码后使用JWT工具类生成会过期的Token,当用户携带此Token访问服务器后会自动延长其过期时间。
SpringBoot 实现 JWT token 自动续期
weixin_44421461的博客
01-18 2414
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息间件 RocketMQ 源码解析数据库间件 Sharding-JDBC 和 MyCAT 源码解析作业调度间件 Elast...
springboot3整合最新版jjwt(0.12.3)
m0_73376570的博客
01-31 3904
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3)
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
m0_71777195的博客
10-13 663
技术选型区别认证流程优缺点安全性性能一次性无法废弃续签选择JWT或session功能实现Redis工具类业务实现过去这段时间主要负责了项目的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章介绍了,可以阅读用户管理模块:今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连。
java不用缓存实现token续签_JWT实现登陆认证及Token自动续期
weixin_36234738的博客
02-26 1284
过去这段时间主要负责了项目的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章介绍了,可以阅读:https://juejin.cn/post/6916150628955717646今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有...
jwttoken自动续约_关于JWT Token 自动续期的解决方案
weixin_39608301的博客
12-21 958
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage。后续每次请求都会将此token放在请求头传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。因为jwt token一般会包含...
关于 JWT Token 自动续期的解决(根据其他文献参考写的)
qq_40095187的博客
04-22 1227
关于 JWT Token 自动续期的解决 关于 JWT Token 自动续期的解决方案 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个 jwt token。前端(如 vue)在接收到 jwt token 后会将 token 存储到 LocalStorage 。 后续每次请求都会将此 token 放在请求头传递到后端服务,后端服务会有一个过滤器对 token 进行拦截校验,校验 token 是否过期,如果 token 过期则会让前端跳转到登录页面重新登录。 因为 jwt token
SpringBoot基于Redis实现token的在线续期
jinkunqingning的博客
06-05 685
所以在线续期token是一种很好的解决方案,我的实现思路是:取消原先token自己的过期时长,然后将token存入redis,key是token,value也是token,存进去什么不重要,重要的是可以根据key去获取value(有效并且没过期),需要的时候随时可以取出来,然后给这个redis一个过期时间,众所周知redis的过期时间是可以重置的,因此在用户每次进行操作的时候就重新给redis一个过期时间即可。这是我们之前的实现思路,也就是给token一个过期时间,然后token过期之后销毁。
SpringBoot集成shiro+jwt+swagger2,实现token令牌自动续期
qq_41319712的博客
12-03 2423
1.新建一个springboot项目 2.引入相关maven依赖 <!--mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope>
基于Spring Boot 3与JWT构建现代化登录认证机制
Yaml4的博客
03-26 1049
Spring Boot 3 整合 JWT(JSON Web Tokens)用于登录开发涉及多个步骤。JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。
SpringBoot 3.x 整合 JWT 、Swagger(使用springdoc)
qq_58159506的博客
04-17 751
SpringBoot 3.x 整合 JWT 、Swagger(使用springdoc)
springboot整合sa-token
07-28
SpringBoot整合sa-token,可以按照以下步骤进行操作。 1. 添加依赖:在`pom.xml`文件添加sa-tokenRedis集成包依赖。可以使用官方提供的Redis集成包`sa-token-dao-redis-jackson`,具体依赖如下: ``` <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-dao-redis-jackson</artifactId> <version>1.34.0</version> </dependency> ``` 2. 配置sa-token:在SpringBoot的配置文件,配置sa-token的相关属性,包括Redis连接信息、token有效期等。可以参考sa-token的官方文档进行配置。 3. 注解鉴权:在需要进行鉴权的方法上添加相应的注解。例如,使用`@SaCheckLogin`注解表示该方法需要登录认证,使用`@SaCheckRole`注解表示该方法需要具有指定角色才能访问。可以根据具体需求选择合适的注解进行鉴权。 4. 注册拦截器:在高版本的SpringBoot(≥2.6.x),需要额外添加`@EnableWebMvc`注解才能使注册拦截器生效。可以在配置类上添加该注解。 通过以上步骤,就可以在SpringBoot成功整合sa-token,并实现基于注解的鉴权功能。请根据具体需求进行配置和使用。 #### 引用[.reference_title] - *1* [【SaToken使用】SpringBoot整合SaToken(一)token自动续期+token定期刷新+注解鉴权](https://blog.csdn.net/weixin_43165220/article/details/126889045)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [springboot:整合sa-token](https://blog.csdn.net/weixin_43296313/article/details/124274443)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Spring Boot使用Sa-Token实现轻量级登录与鉴权](https://blog.csdn.net/m0_71777195/article/details/129175616)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

muyi517

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值