JWT Token刷新方案

最新推荐文章于 2025-03-15 16:30:46 发布
最新推荐文章于 2025-03-15 16:30:46 发布
阅读量4.7w 收藏 142
点赞数 19
分类专栏: Java 文章标签: Token SpringBoot Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37809141/article/details/86572697
版权

JWT TOKEN刷新方案

一、环境

  Springboot,Redis

二、需求

  最近在做用户中心,需要向其他服务签发JWT Token,使用Token来获取用户信息,保证用户信息安全可靠,不会被重放攻击。

三、问题

  JWT Token设置有效期,一旦失效用户就要重新登录,这样的体验非常差,需要做到用户在无感知的情况下,解决如何刷新Token的问题。

四、解决方案

1.设计思路

  看了很多文章,大都是通过refresh Token刷新,其实做法上是类似的。

2.Token设计

说明

  正常Token:Token未过期,且未达到建议更换时间。
  濒死Token:Token未过期,已达到建议更换时间。
  正常过期Token:Token已过期,但存在于缓存中。
  非正常过期Token:Token已过期,不存在于缓存中。

过期时间

  Token过期时间越短越安全,如设置Token过期时间15分钟,建议更换时间设置为Token前5分钟,则Token生命周期如下:

时间 Token类型 说明
0-10分钟 正常Token 正常访问
10-15分钟 濒死Token 正常访问,返回新Token,建议使用新Token
>15分钟 过期Token 需校验是否正常过期。正常过期则能访问,并返回新Token;
非过期Token拒绝访问
生成一个正常Token
  1. 在缓存中,通过用户标识查询老Token。
  2. 如存在,将老Token(Token,用户标识)本条缓存设置过期时间,作为新老Token交替的过渡期。
  3. 将新Token以(Token,用户标识)、(用户标识,Token)一对的形式存入缓存,不设置过期时间。
获取一个正常Token

  在缓存中,通过用户标识查询用户当前Token,校验该Token是否为正常Token,如正常则返回;不正常则生成一个正常Token

3.情景

正常Token传入

  当正常Token请求时,返回当前Token。

濒死Token传入

  当濒死Token请求时,获取一个正常Token并返回。

正常过期Token

  当正常过期Token请求时,获取一个正常Token并返回。

非正常过期过期Token

  当非正常过期Token请求时,返回错误信息,需重新登录。

4.代码

Maven依赖

	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt</artifactId>
		<version>0.7.0</version>
	</dependency>

jwt token工具类

/**
     * 获取用户从token中
     */
    public String getUserFromToken(String token) {
   
        return getClaimFromToken(token).getSubject();
    }

    /**
     * <pre>
     *  验证token是否失效
     *  true:过期   false:没过期
     * </pre>
     */
    public Boolean isTokenExpired(String token) {
   
        try {
   
            final Date expiration = getExpirationDateFromToken(token);
            return expiration.before(new Date());
        } catch (ExpiredJwtException expiredJwtException) {
   
            return true;
        }
    }

    /**
     * 获取可用的token
     * 如该用户当前token可用,即返回
     * 当前token不可用,则返回一个新token
     * @param userId
     * @return
     */
    public String getGoodToken(String userId){
   
        String token = redisTemplate.opsForValue().get("u
最低0.47元/天 解锁文章
JWT】Asp.Net Core中JWT刷新Token解决方案
德仔
11-06 880
1.关于JWTToken过期问题,到底设置多久过期?(1).有的人设置过期时间很长,比如一个月,甚至更长,等到过期了退回登录页面,重新登录重新获取token,期间登录的时候也是重新获取token,然后过期时间又重置为了1个月。这样一旦token被人截取,就可能被人长期使用,如果你想禁止,只能修改token颁发的密钥,这样就会导致所有token都失效,显然不太可取。(2).有的人设置比较短,比如10分钟,在使用过程中,一旦过期也是退回登录页面,这样就可能使用过程中经常退回登录页面,体验很不好。
使用JWT生成Token,并实现Token刷新API
Shallow的博客
12-30 6293
一、背景 传统的网站用户认证方式严重依赖于 Cookie 。但 很多 项目是一个前后端分离的项目,我们希望前端界面的实现不受 项目API 的影响,这就要求 用户认证没有 Cookie 时也能进行。其实仔细想想,用户的认证鉴权,无非就是在访问 API 时发送一个能够识别出用户的字符串给服务端,然后服务端基于字符串查找出用户,再判断用户是否有权限使用 API 。这串字符串,我们可以将其称之为 Token。由于 rmon 的所有 API 都是基于 HTTP 协议的,而在 HTTP 协议中有一个 Authoriz
JWT中的refresh_token
热门推荐
dskwe的专栏
01-10 1万+
参考链接: https://github.com/tymondesigns/jwt-auth/issues/186 https://github.com/tymondesigns/jwt-auth/issues/11利用JWT处理过期: 1.在普通路径下请求时如果token过期,则客户端再次发出一个请求给服务器到一个设定的refresh路径 2.在该路径下采用middleware = ‘jw
SpringBoot】最佳实践——JWT结合Redis实现双Token无感刷新
最新发布
k123456kah的博客
03-15 1439
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。JWT最常见的使用场景就是缓存当前用户登录信息,当用户登录成功之后,拿到JWT,之后用户的每一个请求在请求头携带上字段来辨别区分请求的用户信息。且不需要额外的资源开销。
jwttoken如何刷新
小青龙,创造,变强
02-27 4928
jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新
JWT鉴权中心 实现鉴权授权 刷新Token
yiyang1208的博客
12-05 1775
JWT鉴权授权 .net
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Jwt Token刷新机制设计
dotNET跨平台
03-21 2103
Jwt Token刷新机制设计Intro前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 t...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
Laravel (Lumen) 解决JWT-Auth刷新token的问题
10-16
在Laravel (Lumen)框架中实现JWT-Auth刷新token的问题及解决方案是我们要探讨的知识点。首先,需要理解在Laravel (Lumen)中使用JSON Web Tokens (JWT)作为认证机制时,用户可以通过JWT获取资源,但每次的访问都必须...
java JWT token 自动更新方案
qq_40837841的博客
05-08 3439
jwttoken 的自动更新策略
koa+jwt实现token验证与刷新功能
10-16
主要介绍了koa+jwt实现token验证与刷新功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【shiro】shiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 3347
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
JWT+双token实现无感刷新
MogulNemenis的博客
09-25 859
通过 JWT + 双 Token 实现无感刷新,可以提高系统的安全性,并且提升用户体验,减少频繁登录的麻烦。用于快速鉴权,有效期短;用于刷新,有效期长,使用频率低;前端通过拦截响应中的 401 错误,实现无感刷新
JWT 过期后 自动刷新方案
qq_56694800的博客
11-15 2512
JWT(JSON Web Token)广泛应用于现代 Web 开发中的认证与授权,它以无状态、灵活和高效的特点深受开发者欢迎。然而,JWT 的一个核心问题是。在实际开发中,可以结合业务需求和技术条件选择最适合的方案,甚至进行多方案组合,实现性能与安全的平衡。本文将总结常见的解决方案,分析其优缺点,并帮助开发者选择适合自己项目的方案
Java实战:实现JWT刷新令牌机制
oandy0的博客
02-25 2767
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
修复Spring Cloud中JWT Token刷新漏洞
修复了刷新token bug,这表示项目在实施JWT时,对于令牌刷新机制进行了特定的优化和改进。刷新token机制的目的是为了让用户的会话在特定条件下得以延续。在JWT中,通常存在两种令牌:访问令牌和刷新令牌。访问令牌...
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值