目录
1.不允许改变Token令牌时实现续签
2.允许改变JWT时实现续签
3.续约时的重发JWT问题解决
为什么JWT要续签
那JWT不设置过期时间行不行?
不行,会留下”太空垃圾”,后患无穷
JWT不建议设置长时有效期
续签JWT必须有退出机制
不允许改变Token令牌时实现续签
为什么加入Redis后JWT中过期时间可以去掉?
因为过期时间的被放到后端Redis存储,可以灵活控制
同时在生成MD5时加入环境特征,尽量避免人为盗取
但这也意味着JWT是有状态的
允许改变Token令牌时实现续签
仍然会遇到的问题
• 临界时间 59 分 59 秒,用户提交数据,到 60 分正好 refresh_ token 过期,也会 导致执行失败 。• 这属于小概率事件,在过往的 30 分时间里面任何一次请求都会重新生成 jwt ,剩余时间重新计算
存在重复生成JWT的问题
解决办法
• 认证中心设计一个 计时Map数据结构• 只记录过去n秒内的原始jwt刷新所生成新jwt数据• 几秒内如果发现同样的 jwt 在 再次请求刷新 ,就 返回相同的新jwt数据 。