微服务jwt登录过期解决方案

最新推荐文章于 2024-05-28 09:53:50 发布
置顶 最新推荐文章于 2024-05-28 09:53:50 发布
阅读量8.4k 收藏 26
点赞数 6
分类专栏: 解决方案 文章标签: jwt jwt过期 jwt过期解决方案 jwt过期刷新 jwt无痛刷新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36872046/article/details/103864400
版权
好长时间没有上来写博客了,想你们了都有点 ,😊,近期一直在忙这搭建微服务架构,为一个app提供稳定服务而忙碌,从而在搭建的过程中,遇到了jwt过期以及,恶意刷新jwt的问题,今天主要是针对这两个问题展开教程,传统方式和我的方案到底哪个才是无痛刷新.话不多说,直接上图
以下图是jwt认证流程图

在这里插入图片描述

(这行图是老弟本人直接网上下载的哈)

以上是jwt认证的基本流程,对于了解jwt的同学来说,jwt有个弊端,jwt不允许续签时间,时间到期,token就过期,这就导致网上有好多垃x博主,token过期直接跳转登录页,不管是不是在使用系统操作中,这给用户会带来极致不好的体验,还有一种就是直接jwt永不过期,实在是看不懂这些大神的操作,token不过期,那就意味着随意获得一个token就能随意访问,只能用太恶心了描述,由于我最近搭建的是服务于一个app的微服务架构,那么就不能使用这两种种解决方案

以下图是网上找的jwt无痛刷新方案:

在这里插入图片描述
此解决方案是网上找的 ,恶心至极,这样的方案没考虑并发后造成jwt浪费,间接导致系统不安全.

而我 ,现在要告诉大家一个正确的解决方案:

首先我个人认为:token过期时间越短越好,但对于app来说,一个月token过期 1小时缓冲过期 半年刷新足以

以下图正确的jwt无痛刷新流程图(可能有点不太清楚,图下文字描述)

在这里插入图片描述

字体有点小,我粘贴到这里

首先说一下token制作以及token过期时间

1.需要制作两个token : 首先得到缓冲token过期时间 再得到真实token过期时间 以及 刷新token 和刷新token过期时间

缓冲token过期=真实token过期时间-1小时 真实token 过期时间为3小时 刷新token过期10小时
给前台只需要返回token和刷新token以外,额外增缓冲过期时间

2.以上面的公式 :可知 缓冲token过期为2小时 真实token过期3小时 刷新token过期10小时

请求流程

1.前台携带缓冲token请求资源返回成功返回0 失败-1 缓冲token过期成功300300 缓冲token过期失败300301 真实token过期 返回309309

拦截流程

	1.判断 token是否拉黑
	2.判断token是否缓冲过期
	         如果缓冲过期  则在判断真实token是否过期 
	   				   如果真实过期  直接返回309309 
	   				   如果真实没过期  则放过请求
	         如果缓冲没过期  ,则直接放过请求
2.当访问前台过程中发现某接口返回的状态码为300300 ,token缓冲时间已过期,但是此时旧token会有1小时继续允许请求资源,不过是状态码会返回300300 ,如果请求接口本身失败返回300301
3.当请求返回300300,300301 时,立即发起新的请求刷新token,而之前返回的数据,还是正常解析(正常解析是对于300300和300301来说),(如果此时refeashToken也过期了会返回状态码301301,此时跳转登录页重新登录),刷新token返回成功后,将新token所有信息覆盖之前信息,
4.当请求返回309309特殊处理,还是按照之前传统方式

注意:刷新token接口一定要保证真实token如果没有到缓冲过期时返回的token还是之前的token

此方案的优势就在于如果在用户的使用过程中,token过期,不会直接拦截请求,而是给token一个缓冲时间,在缓冲时间范围内 ,过期的token还是可以访问并正常返回,只是状态码变了,当发现状态码变为300系列,只需在新发一个refashtoken,偷偷将本地token更换即可,这才叫无痛刷新!

最后给大家总结一下对比之前网站的刷新方案有什么优势:
传统

1.请求过期后,会直接拦截只返回token过期状态码,前台需要拿到过期状态码在去刷新token,刷新完token再次重新请求被拦截的请求(一次请求走了三个请求)
2.在用户使用过程中如果token过期,请求时间可能会过长

新方案
  1. 请求过期后,会给与缓冲时间,如果在缓冲时间范围内,前台判断返回值如果是300300和300301时,只需单独发起刷新token请求,无需理会已完成的请求,300300和300301时还是正常解析数据(始终是1次请求)
    当token返回309309时 才需要传统方案解决.
    2.在用户使用过程中不需要担心,缓冲时间就是为了在运行过程中解决无痛刷新问题
最后,如果此方案对大家有帮助,点点赞,关注一下再走呗,老弟打字也不容易呐
private UserInfo user;
/***
 * token
 */
private String token;
/***
 * 缓冲过期时间
 */
private Long bufferExpiration;
/***
 * 真实过期时间
 */
private Long realExpiration;
/***
 * 刷新token
 */
private String refreshToken;
/***
 * 刷新token过期时间
 */
private Long refreshExpiration;

可以关注下博主的公众号,实时推送解决方案!
公众号

JAVA彭于晏
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
SpringBoot+JWT实现单点登录解决方案
07-26
本方案结合了SpringBoot框架和JSON Web TokenJWT)技术来实现这一功能。SpringBoot以其简洁的配置和强大的依赖管理深受开发者喜爱,而JWT则是一种轻量级的安全认证标准,适用于分布式系统的身份验证。 首先,理解...
JWT生成token过期处理方案
weixin_34111819的博客
08-01 5871
2019独角兽企业重金招聘Python工程师标准>>> ...
JWT 讲解与 token 过期自动续期解决方案
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 790
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 8311
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案刷新令牌(Refresh Token)、自动延长JWT有效期
详解token过期含义及解决方 token过期是否需要重新登录
weixin_64051447的博客
05-25 1万+
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
JWTtoken过期自动续期(无redis)
qq_1641486826的博客
01-19 8316
思路: 由于jwt中的token过期时间是打包在token中的,用户登录以后发送给客户端以后token不能变化,那么要在用户无感知的情况下刷新token,就要在符合过期条件的情况下,在缓存一个新的token,作为续命token,再次解析不要解析客户端发送的token,要解析自己缓存的续命token 主要逻辑: 如果当前token没有超过过期时间的两倍,续期,超过了重新登录 主要代码如下: package com.hongseng.app.config.jwtfilter; import enums.Tok
JWT过期处理——单token方案
weixin_44347271的博客
12-04 9559
前后端分离的项目中采用jwt作为接口的安全机制会遇到jwt过期的问题。 jwt中可以设置过期时间,即使是设置成一个月,但可能用户正上一秒还在使用,下一秒jwt过期被叫去重新登录,这是不能接受的,所以需要有处理jwt过期的机制。 在这个问题上比较常用的做法是采用双token——access token和refresh token来处理,access token用户授权,refresh token用于前者过期后获取新的access token。 这里。 我在这里记录我单token方案的思路。 用户登录时生成t
微服务的10个挑战和解决方案.docx
10-26
然而,采用微服务也带来了一系列挑战,本文将深入探讨这些挑战及其相应的解决方案。 首先,数据同步是微服务架构中的一个关键难题。在分布式系统中,保持各个服务之间的数据一致性至关重要。事件源架构和异步消息...
畅购的《微服务商城系统》Spring Security Oauth2 + JWT 用户认证微服务
03-20
微服务商城系统》是基于Spring Security Oauth2与JWT技术实现用户认证的现代电子商务解决方案。这个系统将用户认证服务独立出来,形成了一个专门的微服务,以提高系统的可扩展性和安全性。以下是对这个系统核心...
.netMvc JWT身份验证
11-04
在给定的文件列表中,`APITest.sln` 是一个解决方案文件,可能包含了这个JWT身份验证示例的整个项目结构。`WebApplication1` 可能是实际的MVC Web应用程序项目,包含控制器、视图和模型等。`.vs` 文件夹存储Visual ...
shiro_jwt.rar
04-02
解决方案可以是定期更新JWT,或者在JWT中添加刷新令牌,当JWT过期时,客户端使用刷新令牌获取新的JWT。 通过以上步骤,我们可以构建一个基于SpringBoot、Shiro和JWT的认证授权系统,既满足了微服务的轻量需求,又...
JWT登录过期自动刷新方案与token泄漏解决方案
weixin_65059058的博客
09-13 6882
JWT登录过期自动刷新方案与token泄漏解决方案
JWT token过期自动续期解决方案
热门推荐
chen子健
08-29 5万+
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。 token token就是后端生成的JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证。 token过期...
JWT如何解析过期token中的信息
洛阳泰山的博客
10-31 5606
之后为了解决这个问题,结合了redis,将token值保存到redis中,用户操作后刷新redis的有效时间,这样如果jwt token失效了,再检查 redis 中保存token的key是否失效,如果没有失效,那么就重新创建jwt token ,失效了,就重新登录。(token失效时间无法刷新的原因是由于jwt创建token是根据jwt保存的相关信息来计算的,过期时间是其中的一个计算维度,所以一旦过期时间改了,那么生成的token值也就变了。检查claims发现,在异常之前token其实已经解析完毕。
JWT 登录认证及 Token 自动续期
詹Sir的博客
06-08 1684
要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?
关于JWT Token 自动续期的解决方案
weixin_44742132的博客
09-28 5682
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
微服务网关与JWT鉴权实践
"本文主要探讨了微服务架构中网关与JWT令牌的使用,旨在让读者理解JWT鉴权机制,并掌握如何在网关中实施JWT校验用户登录。" JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用和API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值