Java实战:Spring Boot实现无感刷新Token机制

最新推荐文章于 2024-05-17 22:10:26 发布
最新推荐文章于 2024-05-17 22:10:26 发布
阅读量1.7k 收藏 15
点赞数 23
文章标签: java spring boot 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oandy0/article/details/136419485
版权

引言

在当前的Web应用开发中,JSON Web Tokens(JWT)作为一种轻量级的认证协议,因其无状态、自包含的特性而备受青睐。然而,JWT默认的有效期有限,如何在不影响用户体验的前提下实现Token的自动刷新,即所谓的“无感刷新Token”,成为了许多开发者关注的问题。本文将深入探讨如何在Spring Boot项目中实现无感刷新Token机制,并通过具体的示例代码,逐步引导读者掌握这一核心技术。

一、理解JWT与Token刷新

  1. JWT基础
    JSON Web Tokens由头部(Header)、载荷(Payload)和签名(Signature)三部分组成,其中载荷部分可以携带过期时间(exp)。一旦Token过期,用户必须重新登录以获取新的Token。

  2. Token刷新
    无感刷新Token,是指在用户正常操作期间,系统在后台自动刷新Token的有效期,避免因Token过期而导致用户被迫重新登录。

二、基于Refresh Token的双Token机制

  1. Refresh Token
    一种常见的无感刷新Token策略是采用双Token机制,即同时发放Access Token和Refresh Token。Access Token用于身份验证,有效期较短;Refresh Token用于获取新的Access Token,有效期较长。

  2. 刷新流程
    当Access Token即将过期时,客户端携带Refresh Token向服务器请求新的Access Token,服务器验证Refresh Token有效后,颁发新的Access Token,并可以选择性地更新Refresh Token。

三、Spring Boot实现无感刷新Token实战

  1. 生成与解析JWT
    首先,我们需要引入JWT相关的依赖,如jjwt,并实现JWT的生成与解析。
// JWT工具类
@Component
public class JwtUtil {
    
    private String secret = "your-secret-key"; // 密钥
    
    public String generateToken(UserDetails userDetails) {
        // 创建JWT并设置过期时间、载荷信息
        // ...
        return Jwts.builder()
            .setSubject(userDetails.getUsername())
            .setExpiration(new Date(System.currentTimeMillis() + expirationTime))
            .signWith(SignatureAlgorithm.HS512, secret)
            .compact();
    }

    public Boolean validateToken(String token, UserDetails userDetails) {
        // 验证JWT有效性
        // ...
    }

    public String refreshToken(String token) {
        // 从token中提取subject(用户名)
        // 检查Refresh Token有效性
        // 生成新的Access Token
        // ...
    }
}
  1. 拦截器实现Token刷新
    创建一个Spring Security拦截器,用于处理带有JWT的HTTP请求,并在必要时自动刷新Token。
@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        
        String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            String token = authorizationHeader.substring(7); // 获取Token
            String username = jwtUtil.extractUsername(token); // 提取用户名

            // 检查Token是否过期,如果即将过期,则尝试刷新Token
            if (jwtUtil.isTokenAboutToExpire(token)) {
                String refreshedToken = jwtUtil.refreshToken(token);
                // 更新响应头中的Token信息
                // ...
            }
        }

        chain.doFilter(request, response);
    }
}
  1. 客户端处理Token刷新
    在前端或移动端,通过监听HTTP请求的响应头,获取新的Access Token,并更新本地存储。

四、进一步优化与注意事项

  1. Refresh Token安全性
    为保证系统安全,Refresh Token应具备足够的保护措施,如限制其生命周期、禁止跨域使用、考虑绑定设备等。

  2. 离线刷新
    对于某些场景,可以考虑实现离线刷新Token,即在客户端检测到Token即将过期时,即使用户尚未发起新的HTTP请求,也主动向服务器请求新的Token。

  3. API Gateway集成
    在微服务架构中,可以利用API Gateway处理Token刷新,减轻服务端的压力,同时实现更灵活的刷新策略。

五、结论

通过本文的阐述与示例,我们了解到如何在Spring Boot中实现基于JWT的无感刷新Token机制。实际应用中,应根据项目需求,结合最佳实践,对Token刷新策略进行合理设计与优化,以实现既保证系统安全性,又能提供良好用户体验的目标。

拥抱AI
关注
  • 23
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java如何做到无感刷新token含示例代码(值得珍藏)
01-19
在系统页面进行业务操作时,有时会突然遇到应用闪退,并被重定向至登录页面,要求重新登录。此问题的出现,通常与系统中用于存储用户ID和token信息的Redis缓存有关。具体来说,这可能是由于token过期所导致的身份验证失效。 要解决这个问题,可以采用两种策略:一是自动刷新token,二是token续约。通过在验证用户权限的同时为用户生成新的token并返回给客户端,可以确保客户端及时更新本地存储的token。此外,设置定时任务来刷新token也是一个有效的方法。这样,即使在token即将过期的情况下,也可以通过增加其有效时间来避免应用闪退的问题。 自动刷新token是一种后端解决方案,旨在解决token过期问题。后端会检查每个token的过期时间,一旦发现某个token即将过期,就会在请求头中添加一个新的token。前端在接收到请求时,会拦截该请求并从请求头中获取新的token。如果新旧token不一致,前端会直接更新本地的token,从而确保后续请求能够正常进行。这种方法可以有效避免因token过期而导致的系统闪退问题,提高了系统的稳定性和安全性。
无感刷新-双token
最新发布
qq_62965575的博客
05-17 443
token实现无感刷新
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
SpringSecurity Jwt Token 自动刷新实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 7462
单点登录
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
小程序登录开发通常是调用wx.login获取code,然后发送到后台,后台请求微信拿到用户openId,然后根据openId查询用户,有就走登录流程然后返回token,没有则创建用户之后走登录流程然后返回token,也就是都需要返回一个有时效性的token给小程序端,来保持登录状态,并且后续请求都需要token验证用户。 那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无感刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的状态,如果返回的是授权失败,那么就会保存当前请求,调用刷新token的请求,成功之后再次发起之前保存的请求,这样就可以达到用户无感刷新token。 具体封装类api.js如下,本次代码采用uniapp框架开发,实际项目中每次发起后台请求只需要调用req方法即可做到无感刷新token
SpringBoot+SpringSecurity+SpringCloudOauth2密码模式使用+RefreshToken(四)
鹏举的博客
06-09 1747
Oauth2中的RefreshToken介绍 refresh token是用于获取access token的凭据。refreshtoken由授权服务器颁发给client,用于在当前访问令牌变为无效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的其他访问令牌(访问令牌可能具有更短的生命周期和权限少于资源所有者授权的权限。根据授权服务器的判断,发出刷新令牌是可选的。如果授权服务器发出刷新令牌,则在发出访问令牌时包括它 刷新令牌是表示资源所有者授予客户端的权限的字符串。该字符串通常对客户端不透明。令牌表
Spring-Boot-14-理解Token实现机制
SpriCoder的博客
04-24 847
Spring-Boot-14-理解Token实现机制
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
springboot整和jwt、shiro、redis实现token自动刷新
08-19
下面将详细介绍如何在Spring Boot中整合JWT、Shiro和Redis实现Token自动刷新。 JWT是一种轻量级的身份验证机制,它通过在客户端存储一个包含用户信息的令牌,每次请求时都将这个令牌发送到服务器进行验证。JWT由三...
SpringBoot-JWT-SecurityTest:使用JWT测试Spring Boot应用程序
05-16
SpringBoot-JWT-SecurityTest项目是一个基于Spring Boot的示例应用,它展示了如何集成JWT(Jason Web Token)来实现安全认证。在这个项目中,我们将会深入理解JWT的原理以及如何在Spring Boot应用中使用它来保护API...
基于Spring Boot、Mybatis、Redis的SSO单点登录系统demo
05-29
如果验证通过,用户就能无感地访问该系统。 3. **票据管理**:在AC中,票据的生成、存储和销毁需要精心设计,防止重复使用和未授权访问。Redis的高可用性和快速响应特性使其成为理想的票据存储解决方案。 4. **...
微信jsapi V3支付、退款、小程序登录
07-15
这样可以实现无感登录,提高用户体验,同时保证用户隐私的安全。 4. **Spring Boot框架**: Spring BootJava开发中的一个流行框架,它简化了创建独立的、生产级别的基于Spring的应用程序。在微信支付和小程序...
Springboot整合之Shiro和JWT技术实现无感刷新
qq_67801847的博客
09-22 581
一、Shiro简介Shiro是Java领域非常知名的认证()与授权 ()框架,用以替代JavaEE中的JAAS功能。相 较于其他认证与授权框架,Shiro设计的非常简单,所以广受好 评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用框架。1.1什么是认证?
SpringBoot+Redis】实现多端登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权(角色和权限校验)
weixin_43165220的博客
12-22 5522
SpringBoot+Redis】实现多端登录、防止重复登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权。将登录相关、退出、token相关的这些操作,全部抽出来,放到一个自定义的@Component组件中,在这里实现具体过程,其他地方我们不用关心实现步骤,只需要直接调用这里面的相关方法就行。鉴权相关将角色和角色对应的权限放到缓存中,每次请求时在拦截器里从缓存中拿到角色和权限进行校验。
【SaToken使用】SpringBoot整合SaToken(一)token自动续期+token定期刷新+注解鉴权
热门推荐
weixin_43165220的博客
09-28 1万+
SpringBoot整合SaTokentoken自动续期+token定期刷新+注解鉴权
uniapp 实现无感刷新token
06-01
= 1.00522036 Iteration 6, loss = 0.97427636 Iteration 7, loss = 0.94511844 Iteration 8, loss = 0.91776770 Iteration 9, loss = 0.892232Uniapp 可以通过拦截请求和响应来实现无感刷新 token。具体来说,可以在请求拦截73 Iteration 10, loss = 0.86849268 Iteration 11, loss = 0.84650764 Iteration器中判断当前 token 是否过期,如果过期,则调用刷新 token 的接口来获取新的 token,并将新的 token 更新到请求头中。同时,在响应拦截器中判断服务器返回的状态码,如果是 token 过期的错误 12, loss = 0.82621678 Iteration 13, loss = 0.80754352 Iteration 14, loss = 0.79039852 Iteration 15, loss = 0.77469448 Iteration 16, loss = 码,则重新调用刷新 token 的接口来获取新的 token,并重新发送请求。这样就可以实现无感刷新0.76034297 Iteration 17, loss = 0.74725633 Iteration 18, loss = 0.735 token 的效果了。需要注意的是,刷新 token 的接口需要保证安全性,防止 token 被恶意获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值