Shiro+JWT+Redis做认证,关于token有效期内续期方案

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量1.8k 收藏 5
点赞数 1
文章标签: jwt shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lucay1992/article/details/113766553
版权

最近做的项目Springboot+vue前后端分离

还是选用了扩展功能很强大的shiro作为安全框架

并且弃用了shiro的session管理,使用JWT(JSON Web Token)取而代之

现在已经实现登录认证

有个问题是,用户在token有效时间内的正常操作(请求header中携带token的请求)如何刷新token最好?

在网上查了查,我总结出两个方案:

1.第一种方案,单token反复刷新

简单来说就是用户每次访问后台服务,验证老token通过时,会进行jwt续期(重新颁发token),签发newtoken放到Response的header返回给前端

前端axios全局拦截Response获取header中的newtoken储存在localstorage,下次请求再带上这个newtoken

这样每次请求都会保持token时间重置,同时token也重置

但是这样做好像会在并发请求时引起反复刷新token导致多个请求失败的异常。

而且我不知道这样做是不是太过冗余,每次都要生成新token,如果用户在一段时间内反复点击一个按钮访问后端服务,会不会太影响性能了?

 

2.第二种方案,分为access_token和refresh_token

这种方案给我的理解就是大小token,大token(refresh_token)比小token(access_token)过期时间要长。

小token在有效期内,则正常处理,小token失效,则使用大token验证,通过则重新颁发token作为小token给前端,否则需要重新登录。

前端依旧拦截Responseheader存储新的小token

这样做减少了方案一冗余的刷新令牌操作,但是感觉这样做,是不是有点无用功了?就好像给单token延长了时间一样。。。

 

百思不得其解,希望大神能给讲一讲

Lucay丶
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JWT token过期后自动续期的解决方案
leeta的博客
08-20 3433
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
shiro + redis session过期时间不符合预期,提前过期
浪丶荡
12-20 4682
shiro + redis session过期时间不符合预期,提前过期 redis的过期时间设置的是8小时,如下 /** * 配置shiro redisManager * 使用的是shiro-redis开源插件 * * @return */ public RedisManager redisManager() { Red...
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 1311
OAuth2.0 的token自动续期源码分析及实现
token 登录途中自动延迟失效时间
liuhm的博客
11-02 5013
token 登录途中自动延迟失效时间 方法一 refresh token 前端 所谓多请求,就是指在短时间内同时发生多个请求,如果此时token已经过期,那么这些请求都会出现token过期请求失败的情况。 为了避免反复刷新token,需要设置一个刷新token的开关isRefresh,当一个请求出现token过期的时候,这个时候会调用token刷新函数,与此同时关闭开关将isRefresh的值设置为false,避免后续请求去调用token刷新函数。 当发现token过期时,咱们将请求延缓到token刷新
基于JWTShiro 接口权限认证
最新发布
Karka_的博客
06-20 647
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合ShiroJWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
shiro框架如何保持登录状态
weixin_40835745的博客
12-17 3978
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、shiro保持登录状态的方式?二、具体过程1.登录系统2.关闭浏览器3.登出系统4.RememberMe功能总结 前言 最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么 一、shiro保持登录状态的方式? 现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 9177
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
jwt+shiro+redis实现token的自动刷新和token的可控性
zhuzi的博客
08-17 6526
文章目录一、为何要使用jwt+shiro+redis二、AccessToken和RefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessToken及RefreshToken概念说明2-3. 关于Redis中保存RefreshToken信息(JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis和实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期Token刷新方案源码+项目说明.zip
12-20
基于Springboot+Shiro+jwt+Redis+Mybatis实现的有效期Token刷新方案源码+项目说明.zip 本项目为前后端分离的Web应用后端程序,采用技术框架如下: springboot v2.1.2.RELEASE shiro jwt redis mybatis-plus v...
Springboot+Shiro+jwt+Redis+Mybatis 有效期Token刷新方案.zip
02-04
方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制
10-17
本项目结合了Apache Shiro、JSON Web Token (JWT)、SpringBoot、MySQL数据库以及Redis缓存技术(通过Jedis客户端)来实现这一机制。下面我们将详细探讨这些组件在实现无状态鉴权中的作用。 **Apache Shiro** Apache...
JWT续期方案
weixin_41914013的博客
06-01 1097
在使用JWT方案的过程中也是遇到了其他的问题,一一解决后,对jwt理解更清晰了。网上给到的方案也挺多的,我没有一一尝试,大家可以根据具体情况选择合适的方案使用。在项目中不考虑性能情况下,我只想简单实现,能颁发token,能续期,能正常过期,能退出登录就可以了。这个方案是遇到了问题,后来就演变成这个方案了。- 后端返回给前端一个生成的Token,前端存在本地Localstorage中,每次请求API放在Header中。Token续期方案有很多,根据前后端自由搭配,自主设计只要没有bug,都没有问题。
Redis分布式锁如何自动续期
Java搜索工程技术栈
02-28 3192
1、Redis 实现分布式锁 指定一个 key 作为锁标记,存入 Redis 中,指定一个唯一的用户标识作为 value。 当 key 不存在时才能设置值,确保同一时间只有一个客户端进程获得锁,满足互斥性特性。 设置一个过期时间,防止因系统异常导致没能删除这个 key,满足防死锁特性。 当处理完业务之后需要清除这个 key 来释放锁,清除 key 时需要校验 value 值,需要满足只有加锁的人才能释放锁 。 2、问题 如果这个锁的过期时间是30秒,但是业务运行超过
JWT 讲解与 token 过期自动续期解决方案
热门推荐
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
shiroshiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 2909
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token的刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
SpringBoot集成shiro+jwt+swagger2,实现token令牌自动续期
qq_41319712的博客
12-03 2382
1.新建一个springboot项目 2.引入相关maven依赖 <!--mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope>
Shiro认证登陆默认登录有效期30分钟的问题
eternally_zh128@sina.com的博客
06-06 2214
采用shiro认证,使用session登录,默认有效期30分钟。
springboot+shiro+jwt+redis
08-18
Spring Boot是一个开源的Java框架,用于构建独立的、可执行的、生产级的Spring应用程序。它极大地简化了Spring应用程序的搭建和部署过程,提供了一整套开箱即用的特性和插件,极大地提高了开发效率。 Shiro是一个强大且灵活的开源Java安全框架,提供了身份验证、授权、加密和会话管理等功能,用于保护应用程序的安全。它采用插件化的设计,支持与Spring等常用框架的无缝集成,使开发者能够轻松地在应用程序中添加安全功能。 JWT(JSON Web Token)是一种用于在客户端和服务端之间传输安全信息的开放标准。它使用JSON格式对信息进行包装,并使用数字签名进行验证,确保信息的完整性和安全性。JWT具有无状态性、可扩展性和灵活性的特点,适用于多种应用场景,例如身份验证和授权。 Redis是一个开源的、高性能的、支持多种数据结构的内存数据库,同时也可以持久化到磁盘中。它主要用于缓存、消息队列、会话管理等场景,为应用程序提供高速、可靠的数据访问服务。Redis支持丰富的数据类型,并提供了强大的操作命令,使开发者能够灵活地处理各种数据需求。 综上所述,Spring Boot结合ShiroJWTRedis可以构建一个安全、高性能的Java应用程序。Shiro提供了强大的安全功能,包括身份验证和授权,保护应用程序的安全;JWT用于安全传输信息,确保信息的完整性和安全性;Redis作为缓存和持久化数据库,提供了高速、可靠的数据访问服务。通过使用这些技术,开发者能够快速、高效地构建出符合安全和性能需求的应用程序。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值