JWT中RefreshToken的应用场景及刷新token的具体实现思路

最新推荐文章于 2025-03-27 15:31:36 发布
最新推荐文章于 2025-03-27 15:31:36 发布
阅读量1.4w 收藏 35
点赞数 11
分类专栏: refreshToken 刷新token 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isFuong/article/details/114946766
版权

在JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。

试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时,

你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点,

这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重新登录了,你说气不气?

这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshToken来主动续期。

这样就解决了token过期导致用户上一秒还在登录,下一秒就突然退出登录的问题。

但是如何实现通过refreshToken刷新token呢?

  1. 首先,refreshToken有效时间一定要比token有效时间长至少才能不影响用户体验,具体要长多少得以实际需求为准,建议是24小时

  2. 前端每次访问后端都携带token,如果token失效则后端直接返回类似token失效请重新登录的报文。

  3. 前端第一次收到token失效的响应后,从本地存储拿refreshToken再去请求

  4. 后端一检测到refreshToken参数不为空,就去校验解析这个refreshToken

    1. 如果有效,后端就返回一个新的token及refreshToken给前端,前端收到后更新本地存储,同时拿这个新的token向后端发起第三次请求,然后成功获取资源

    2. 如果无效,则后端同样返回token失效,前端第二次收到失效的响应则跳转到登录页重新登录

这样就解决了以上场景的问题

 

 

JWT中的refresh_token
dskwe的专栏
01-10 1万+
参考链接: https://github.com/tymondesigns/jwt-auth/issues/186 https://github.com/tymondesigns/jwt-auth/issues/11利用JWT处理过期: 1.在普通路径下请求时如果token过期,则客户端再次发出一个请求给服务器到一个设定的refresh路径 2.在该路径下采用middleware = ‘jw
一文精通JWT Token、ID Token、Access TokenRefresh Token
FeelTouch Labs
02-21 1753
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
【shiro】问题记录--为什么refreshToken方法走不下去
kevin的博客
06-02 452
redis和token同时过期,以上代码就没法进行token续签了。问题一主要原因是token过期,所以查不到信息,导致返回org.apache.shiro.authc.UnknownAccountException: Realm解决一:redis中token过期时间设为20分钟,token签证的过期时间设为1分钟,将两个时间错开可以执行,再去实验,就可以得到的异常了。(具体没再往下深究)问题二。
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
身份验证API 在OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ authenticate->检查ID /密码信息并返回令牌信息(accessToken,refresToken) 使用发出的accessToken请求API调用 当accessToken过期时,通过调用/ re / authenticate重新设置accessTokenrefreshToken(设置先前在调用API时在标头中发布的refreshToken) 设定值 jwt: access-token-refresh-url: /re/authenticate access-token
第十四: jwt token ,refresh token(二)
最新发布
小画家
03-27 155
ErrorUserNotLogin = errors.New("当前⽤用户未登录")中间件 Middlewears。gin框架使⽤用jwt
JWT refreshtoken 实践
weixin_34209406的博客
04-29 2540
Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
jwt无状态权限认证(RefreshToken)
zhouping118的博客
04-17 8175
1.背景 在开发pingss-sys脚手架(项目地址)时,需要在微服务分布式环境中管理权限。 上一篇写了基本的jwt无状态权限认证,但是存在两个问题 生成的token如果过期时间太短,则每次到期后,都需要用户重新登录 生成的token如果过期时间太长,由于token签发后,在有效期内无法注销,存在安全隐患 本篇使用RefreshToken+redis增加安全性 2.思路 用户登录成功生...
PyJWT 登录鉴权最佳实践【Refresh Token
AI全栈 和 IT 编程相关分享
03-14 2075
JWT规定的协议的格式由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。
koa+jwt实现token验证与刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证与令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 中的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以...
SpringSecurity Jwt Token 自动刷新实现
08-19
2. Token的自动延长:系统给用户颁发一个Token,无法实现自动延长Token的过期时间,那么通过变通一个,给用户生成两个Token,一个用于API访问的Token,一个用于在Token过期的时候用来刷新refreshToken。...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
下面将详细介绍如何在Spring Boot中整合JWT、Shiro和Redis实现Token自动刷新JWT是一种轻量级的身份验证机制,它通过在客户端存储一个包含用户信息的令牌,每次请求时都将这个令牌发送到服务器进行验证。JWT由三...
关于refresh_token
dgiij的博客
08-11 597
其实不论多长时间,总会有超期时间,这时候用户访问时会跳转到登录界面要求重新登录,这样的体验是不太好的,所以一般情况下,登录成功后,可以提供两个token给前端,一个是access_token,也就是前面介绍的通常意义上的jwt,而另一个是refresh_token,它的有效期比access_token的要长一些,用户在access_token过期且access_token未过期情况下可为前端重新申请access_token(其实也可以同时更新refresh_token
jwt,accesstokenrefresh token详解
qq_37704442的博客
02-24 5129
jwt,accesstokenrefresh token详解
一张图说明双tokenJWTtoken&refreshToken)的使用流程
chenyuhaokaixin的博客
09-03 485
​​​​​​​​​​​​​​
JWT Token、ID Token、Access TokenRefresh Token
乌龟的专栏
02-22 8341
JWT Token、ID Token、Access TokenRefresh Token
Jwt Token刷新机制设计
dotNET跨平台
03-21 2098
Jwt Token刷新机制设计Intro前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 t...
token,使用refreshToken更新token方案
晓枫
12-01 1937
token更新的主要问题: 请求接口时token过期,需要先刷新token,在请求之前的接口,这样请求了三次接口会导致反应慢。 当有多个接口同时请求时,可能导致多次刷新token或者后面的接口在刷新token后没有重新请求。 看了很多网上的文章解决方法大致分为三种: 每次请求接口时,后台判断token剩余时间,如果时间过半就发一个新的token,同时之前的token短时间内还可以继续使用。(需要后端配合) 前端的请求形成一个消息队列,每个请求依次请求接口,当token过期时,先刷新token之后
jwt 生成 token refreshtoken
02-18
### 如何生成 JWT TokenRefreshToken 为了实现 JWT TokenRefreshToken 的生成,通常会设计一个工具类来封装这些功能。此工具类应具备如下特性: - 提供方法用于生成 `access_token` 和 `refresh_token` - 支持从 JWT 中提取所需的信息 - 检查 JWT 是否已过期 #### 配置应用参数 在应用程序配置文件中定义必要的 JWT 参数是非常重要的。对于 Spring Boot 应用程序而言,在 `application.yml` 文件内指定密钥和两种令牌的有效期限[^3]。 ```yaml jwt: secret: your_secret_key access-token-expiration: 3600 # 即1小时 refresh-token-expiration: 604800 # 即7天 ``` #### 实现 JWT 工具类 下面是一个简单的 Java 版本的 JWT 工具类示例,它实现了上述提到的功能: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.function.Function; public class JwtUtil { private String SECRET_KEY = "your_secret_key"; public String generateAccessToken(String username) { Map<String, Object> claims = new HashMap<>(); return createToken(claims, username, "access"); } public String generateRefreshToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put("type", "refresh"); return createToken(claims, username, "refresh"); } private String createToken(Map<String, Object> claims, String subject, String type) { long expirationTimeMillis; if ("access".equals(type)) { expirationTimeMillis = Long.parseLong(env.getProperty("jwt.access-token-expiration")) * 1000; } else { // assume it's a refresh token expirationTimeMillis = Long.parseLong(env.getProperty("jwt.refresh-token-expiration")) * 1000; } final Date createdDate = new Date(); final Date expirationDate = new Date(createdDate.getTime() + expirationTimeMillis); return Jwts.builder() .setClaims(claims) .setSubject(subject) .setIssuedAt(createdDate) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public Boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } private Claims extractAllClaims(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); } private Date getExpirationDateFromToken(String token) { return getClaimFromToken(token, Claims::getExpiration); } private <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) { final Claims claims = extractAllClaims(token); return claimsResolver.apply(claims); } } ``` 这段代码展示了如何通过给定的主题(通常是用户名)创建两个不同类型的令牌——访问令牌(`access_token`)和刷新令牌(`refresh_token`)。此外还提供了检查令牌是否已经到期的方法[^1]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值