浅析使用 JWT 的正确姿势

最新推荐文章于 2022-12-15 11:10:37 发布
最新推荐文章于 2022-12-15 11:10:37 发布
阅读量871 收藏 1
点赞数
分类专栏: 前端 文章标签: 前端 服务器 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezf_hero/article/details/126155414
版权

浅析使用 JWT 的正确姿势

在很长的一段时间里,我都没有正确的使用 jwt,意识到这个问题之后,把我最真实的思考和总结拿出来和大家分享下,欢迎一起讨论

现状

先说下我以前是怎么使用的:

  1. 登录成功后,将 userId 放进 payload 生成 jwt(有效期 8 小时),然后把 jwt 发送到前端,前端存储下来
  2. 前端每一次访问 API 需在 header 中携带 jwt
  3. 后端先解析 jwt,拿到 userId 后,数据库查询此用户的权限列表(用户-角色-权限)
  4. 拿到用户的权限列表后,和当前接口所需的权限进行匹配,匹配成功返回数据,失败返回 401

jwt 标准

先来查查标准是怎么样的,首先参考了jwt.io上面对使用场景的说明:

  1. Authorization 授权
  2. Information Exchange 信息交换

对于上面的信息,我个人的理解是两个方面:

  1. 允许用户访问路由、服务和资源,在我这里就是接口所需的权限,也可以 SSO 登录,我这里目前不需要
  2. 可以确定当前用户的身份,在我这里就是 userId 了

优化

现在的用法有以下缺陷:

  1. 每次调用接口都需要进行数据库查询权限(用户-角色-权限),浪费资源
  2. 登录成功 8 小时后,即使用户一直在不停的使用系统,但 jwt 还是会失效,需要重新登录

第一点好说,把权限列表也放进 payload,解析完毕直接和接口所需权限进行对比。

第二点,把有效期延长到一个星期,一个月?但是仍然会发生正在用着用着 jwt 就失效了,需要重新登录的情况,时间设置的太长也不安全,因为 jwt 本身就是无状态的,而且权限变更了怎么办,难道要等很久才生效吗,这么看来必须要刷新 jwt 了。

对应的优化点就来了:

  1. 把权限列表放进 payload,不用每次都去数据库查询
  2. 让用户无感的刷新 jwt

刷新 jwt 方案

这里参考了 stackoverflow 上面的讨论:

  1. jwt-refresh-token-flow
  2. JWT (JSON Web Token) automatic prolongation of expiration

然后我确定了我的刷新流程:

  1. 登录成功后颁发两个 token:accessToken 有效期 1 小时,refreshToken 有效期 1 天
  2. accessToken 失效后返回 401,前端通过 refreshToken 获取新的 accessToken 和新的 refreshToken
  3. refreshToken 失效后返回 403,需要重新登录

也就是说,登录成功后,在 refreshToken 有效期内,都可以继续操作,并且顺延有效期,再也不会出现用着用着突然需要重新登录的情况了。这俩有效期可以自行调整,我这里考虑的是 accessToken 最好不能太长,不然调整权限后生效期太短。

后端调整

新增用来刷新 token 的接口,大部分逻辑和登录是一样的,验证 refreshToken 后,返回新的 accessToken 和新的 refreshToken

前端调整

主要的难点在前端部分,前端的刷新逻辑:

  1. 登录成功后在前端存储 accessToken 和 refreshToken,以后的每一次调用 API 都需要携带 accessToken
  2. 用户一小时后继续操作后端返回 401,此时 accessToken 失效,把这一阶段的所有请求都缓存下来
  3. 使用 refreshToken 获取新的 accessToken 和新的 refreshToken
  4. 使用新的 accessToken 重新发起刚才所有缓存下来的请求
  5. 一天之后用户再次操作,后端返回 401,此时 accessToken 失效,把这一阶段的所有请求都缓存下来
  6. 使用 refreshToken 获取,后端返回 403,跳转到登录页重新登录

此处需要考虑的是并发请求,需要把 accessToken 失效后期间所有的请求都缓存下来,并且在获取到有效 accessToken 后继续所有未完成的请求

目前我使用的是 axios,使用的拦截器,在此贴出部分核心代码:

// 响应拦截器
axios.interceptors.response.use(
  response => {
    const data = response.data;
    // 没有code但是http状态为200表示外部请求成功
    if (!data.code && response.status === 200) return data;
    // 根据返回的code值来做不同的处理(和后端的私有约定)
    switch (data.code) {
      case 200:
        return data;
      default:
    }
    // 若不是正确的返回code,且已经登录,就抛出错误
    throw data;
  },
  err => {
    // 这里是返回 http 状态码不为 200和304 时候的错误处理
    if (err && err.response) {
      switch (err.response.status) {
        case 400:
          err.message = '请求错误';
          break;

        case 401:
          // accesstoken 错误
          if (router.currentRoute.path === '/login') {
            break;
          }
          // 判断是否有 refreshToken
          const root = useRootStore();
          if (!root.refreshToken) {
            logout();
            break;
          }
          // 进入刷新 token 流程
          // 本次请求的所有配置信息,包含了 url、method、data、header 等信息
          const config = err?.config;
          const requestPromise = new Promise(resolve => {
            addRequestList(() => {
              // 注意这里的createRequest函数执行的时候是在resolve开始执行的时候,并且返回一个新的Promise,这个新的Promise会代替接口调用的那个
              resolve(createRequest(config));
            });
          });
          refreshTokenRequest();
          // 这里很重要,因为本次请求 401 了,要返回给调用接口的方法返回一个新的请求
          return requestPromise;

        case 403:
          // 403 这里说明刷新token失败,登录已经到期,需要重新登录
          // 10 秒后清除所有缓存的请求
          setTimeout(() => {
            clearTempRequestList();
          }, 10000);
          logout();
          break;

        default:
      }
    }
    return Promise.reject(err);
  }
);

刷新部分的逻辑代码:

import axios from 'axios';
import http from './index';
import { useRootStore } from '@/store/root';

// 临时的请求函数列表
const tempRequestList = [];

// 发起刷新token的标志位,防止重复刷新请求
let isRefreshing = false;

// 1min 内刷新过token标志位
// 为了防止并发的时候,刷新请求完毕,tempRequestList也已经清空,之后仍有请求返回403,造成重复刷新
let refreshTokenWithin1Minute = false;

const refreshTokenRequest = () => {
  if (isRefreshing) {
    return;
  }
  if (refreshTokenWithin1Minute) {
    for (const request of tempRequestList) {
      request();
    }
    tempRequestList.length = 0;
    return;
  }
  isRefreshing = true;
  refreshTokenWithin1Minute = true;
  const root = useRootStore();
  // 使用刷新token请求新的accesstoken和刷新token
  const params = {
    refreshToken: root.refreshToken
  };
  http.post('/api/v1/refresh-token', params).then(({ data }) => {
    root.updateAccessToken(data.token);
    root.updateRefreshToken(data.refreshToken);
    root.updateUserId(data.userId);
    for (const request of tempRequestList) {
      request();
    }
    // 1 min 后清除标志位
    setTimeout(() => {
      refreshTokenWithin1Minute = false;
    }, 60000);
    tempRequestList.length = 0;
    isRefreshing = false;
  });
};

const addRequestList = request => {
  tempRequestList.push(request);
};

const clearTempRequestList = () => {
  tempRequestList.length = 0;
};

const createRequest = config => {
  // 这里必须更新 header 中的 AccessToken
  const root = useRootStore();
  config.headers['Authorization'] = 'Bearer ' + root.accessToken;
  return axios(config);
};

export { refreshTokenRequest, createRequest, addRequestList, clearTempRequestList };

源码

前后端有提供源码,可以利用源码调整两个 token 的有效期进行测试

后端部分的源码在这里

前端部分的源码在这里

还有在线的体验地址

hezf_hero
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot项目使用jwt+token实现登录
qq_36090537的博客
11-23 2175
从登录接口获取的token,存储在客户端, 客户端下次发起请求时放在header中Authorization中,AuthenticationInterceptor拦截器直接解析,解析通过后放行,否则抛出异常。
JWT生成Token及解析Token
专注Java后端技术干货、项目源码总结分享,期待您的关注。
02-25 2万+
JWT生成Token详解 【第一部分】历史文章: SpringBoot总结(一)——第一个SpringBoot项目 SpringBoot总结(二)——Spring Boot的自动配置 SpringBoot总结(三)——SpringBoot的配置文件 SpringBoot总结(四)——@Value和@ConfigurationProperties的区别 SpringBoot总结(五)——@PropertySource注解与@ImportResource注解 SpringBoot总结(六)——SpringBoo
SpringSecurity OAuth2 生成JWT
clonetx的博客
05-26 1177
在《SpringSecurity之OAuth2 令牌accessToken的生成过程_clonetx的博客-CSDN博客》中我们分析了access_token生成整体流程的源码,最终提到了accessTokenEnhancer.enhance(token, authentication)方法。 而说到转换token,最普遍的就是转成 jwt 了。 1 jwt jwt共分为三部分组成,header、payload、signature,即头、体、签名;其结构如下,使用英文句......
Spring Secuirty Oauth2将token换成jwt
张俊杰 的博客
02-08 777
代码地址 https://gitee.com/zjj19941/ZJJ_Neaten5.10/tree/master/ZJJ_SpringCloud_Oauth2/demo04 ​ 代码 在之前的spring security Oauth2的代码基础上修改 引入依赖 ​ <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web TokenJWT)进行身份验证和授权。 什么是 JWT? JSON Web TokenJWT)是一种用于身份验证和授权的 token。它是...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
Django项目中使用JWT的实现代码
09-18
在Django项目中集成JSON Web Token (JWT) 可以为用户提供无状态的身份验证,而无需使用传统的会话管理。JWT是一种轻量级的身份验证机制,适用于前后端分离的应用。以下是如何在Django项目中使用JWT的详细步骤: 1. ...
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
ThinkPHP5框架中使用JWT的方法示例
12-17
本文实例讲述了ThinkPHP5框架中使用JWT的方法。分享给大家供大家参考,具体如下: JWT下载地址:https://jwt.io 可以直接去github上下载,也可以使用composer 使用composer的话要确保你的电脑上安装了composer,进入...
laravel jwt同一个token在不同系统中验证
weixin_39651391的博客
02-25 944
laravel jwt token跨平台验证,用户中心
JWT跨域认证原理及用法
qq_44765534的博客
12-15 181
1、用户向服务器发送用户名和密码。2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。3、服务器向用户返回一个 session_id,写入用户的 Cookie。4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。
jwt token 太长_JWT实现登录、鉴权
weixin_39825105的博客
12-03 6843
背景什么是JWT JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。JWT的作用 由于...
Postman获取token给其他接口使用
chennuan1991的博客
09-28 1739
步骤1:将token参数设置为环境变量 步骤2:调用可以获取token的接口,在tests中写如下脚本,获取接口返回的token,设置到环境变量token中 var data = JSON.parse(responseBody) console.log(data.data.token) pm.environment.set("token", data.data.token); 步骤3:其他接口引用环境变量 ...
12-前端集成认证授权-携带JWT授权
minihuabei的博客
09-02 744
2、在base/api/system.js中添加getjwt方法 /*获取jwt令牌*/ export const getjwt= () => { return http.requestQuickGet('/openapi/auth/userjwt') } 3、在utils.js中添加 如下方法 getActiveUser: function(){ let uid = this.getCookie("uid") if(uid){ let activeUserStr = this.getUserSe.
jwt token 太长_理解 JWT 鉴权的应用场景及使用建议
weixin_39608509的博客
12-03 1276
JWT 介绍JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。虽然JWT可以加密以提供各方之间的保密性,但我们将重点关注已签...
jwt设计与实现
多看多听多总结
07-13 401
参考资料:https://github.com/jwtk/jjwt
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
热门推荐
weixin_42030357的博客
07-12 3万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一...
jwt token长度限制_OAUTH.令牌存储介绍以及JWT实现强制登出、登录个数控制
weixin_39755873的博客
11-29 1874
1、令牌存储介绍TokenStore的实现类,有InMemoryTokenStore、JdbcTokenStore、JwkTokenStore、RedisTokenStore。1.1 基于内存的 InMemoryTokenStore优点:单机、简单易用缺点:a) 重启服务器导致令牌全部丢失,用户需要重新授权。 b) 微服务、分布式系统中无法共享令牌信息。1.2 基于数据库的 JdbcTokenSt...
java 使用jwt
最新发布
09-03
在Java中使用JWT,你可以通过使用不同的开发语言实现JWT标准。Java中推荐使用JWT实现库是java-jwt。你可以使用Maven导入java-jwt库,并使用相应的代码生成加密的Token。例如,可以使用JWT.create()函数设置过期...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值