一、为什么要刷新Token的过期时间?
我们在定义JwtUil工具类的时候,生成的Token
都有过期时间。
那么问题来了,假设Token过期时间为15天,用户在第14天的时候,还可以免登录正常访问系统。
但是到了第15天,用户的Token过期,需要用户重新登录系统。
HttpSession
的过期时间默认为15分钟。如果用户连续使用系统,只要间隔时间不超过15分钟,系统就不会销毁HttpSession
对象。
JWT的令牌过期时间能不能做成HttpSession
那样超时时间,只要用户间隔操作时间不超过15天,系统就不需要用户重新登录系统?
实现这种效果的方案有两种: 双Token和Token缓存,这里重点讲一下Token缓存方案。
Token缓存方案是把Token
缓存到Redis,然后设置Redis里面缓存的Token
过期时间为正常Token
的1倍,然后根据情况刷新Token
的过期时间。
如下图所示:
当然,会出现以下两种情况:
①Token失效,缓存也不存在
当第15天,用户的Token失效以后,我们让Shiro程序到Redis查看是否存在缓存的Token,如果这个Token不存在于Redis里面,就说明用户的操作间隔了15天,需要重新登录。
②Token失效,但是缓存还存在的情况
如果Redis中存在缓存的Token,说明当前Token失效后,间隔时间还没有超过15天,不应该让用户重新登录。所以要生成新的Token返回给客户端,并且把这个Token缓存到Redis里面,这种操作成为刷新Token过期时间。
二、客户端如何更新令牌?
我们采用第二种方案时,客户端怎么知道这次响应带回来的Token是更新过的呢?
如下图,其实很容易解决:
当用户成功登录系统,后端服务器会执行更新Token的操作,就在响应中添加Token。
客户端那边判断每次Ajax响应里面是否包含Token,如果包含,就把Token保存起来就可以。
三、如何在响应中添加令牌?
如下图所示:
我们定义OAuth2Filter
类拦截所有的HTTP请求,一方面它会把请求中的Token
字符串提取出来,封装成对象交给Shiro框架;另一方面,它会检查Token
的有效性。如果Token过期,那么会生成新的Token,分别存储在ThreadLocalToken
和Redis
中。
之所以要把新令牌保存到ThreadLocalToken里面,是因为要向AOP切面类传递这个新令牌。
虽然OAuth2Filter中有doFilterInternal()
方法,我们可以得到响应并且写入新令牌。但是这样非常麻烦,首先我们要通过IO流读取响应中的数据,然后还要把数据解析成JSON对象,最后再放入这个新令牌。
如果我们定义了AOP切面类,拦截所有Web方法返回的R对象,然后在R对象里面添加新令牌,这多简单啊。
但是OAuth2Filter和AOP切面类之间没有调用关系,所以我们很难把新令牌传给AOP切面类。
这里我想到了ThreadLocal,只要是同一个线程,往ThreadLocal里面写入数据和读取数据是完全相同的。在Web项目中,从 OAuth2Filter到AoP切面类,都是由同一个线程来执行的,中途不会更换线程。所以我们可以放心的把新令牌保存都在ThreadLocal里面,AOP切面类可以成功的取出新令牌,然后往R对象里面添加新令牌即可。
ThreadLocalToken是我自定义的类,里面包含了ThreadLocal类型的变量,可以用来保存线程安全的数据,而且避免了使用线程锁。