json web token(jwt)的超时刷新策略

最新推荐文章于 2024-02-25 10:00:00 发布
最新推荐文章于 2024-02-25 10:00:00 发布
阅读量2.2k 收藏 4
点赞数 2
分类专栏: java 工具使用 spring 文章标签: jwt java filter
未经本人同意不得私自转发,谢谢合作!
本文链接:https://blog.csdn.net/qq_38294335/article/details/107631380
版权
工具使用 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
java
9 篇文章 1 订阅
订阅专栏
spring
6 篇文章 0 订阅
订阅专栏

1. 前言

我目前的项目是前后端分离的项目,前后端分离时我们会因为同源策略而无法设置cookie和sessionid,自然就用到了JWT(Json Web Token)来解决身份认证,相对于其他方式有很多难以媲美的优点。
但是呢,每一个技术都不是完美的,有优点则必有缺点,我们学习每一项技术的时候都要了解随之而来的不足!token实际上是一个拥有完整身份信息和过期时间的加密字符串,一经生成,就不可控。

2. 需求场景

  • 如何刷新token但同时有效的只有一个?
  • 如何在超时后自动刷新,而不是直接跳转登录页影响用户体验?

3.解决策略

  1. jwt的vo包装类
package com.smart.gateway.vo;

import lombok.Builder;
import lombok.Getter;
import java.io.Serializable;

@Builder
@Getter
public class JwtVo implements Serializable {
    //token令牌
    private String jwt;

    //刷新token,过期时间比jwt的长一点,用于判断用户是否活跃,并动态刷新token
    private String refreshJwt;

    //jwt的过期时间
    private Long expireTime;

}

简要说明:

  • jwt:是正常的token
  • refreshJwt:和jwt唯一不同的就是过期时间会延后点,根据实际情况进行调整,时间的差值即为判断用户是否活跃的一个阈值
  • expireTime:jwt的过期时间,可减少jwt的解析时间,减小服务器性能消耗,提高效率

由于项目使用了springsecurity来进行鉴权,因此使用了spring security的全局过滤器

package com.smart.gateway.filter;

import com.alibaba.fastjson.JSON;
import com.smart.gateway.service.ImmunityPathService;
import com.smart.pojo.Result;
import com.smart.pojo.StatusCode;
import com.smart.util.JwtUtil;
import com.smart.vo.JwtVo;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.stereotype.Component;
import org.springframework.util.Base64Utils;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * description:
 * creator: 蝠鲼
 * create_time: 2020/7/22
 * version: v1.0
 */
@Component
@Slf4j
public class AuthorizeFilter implements GlobalFilter, Ordered {

    public static final String API_URI = "/v2/api-docs";

    public static final String LOGIN_URl = "/login";

    @Autowired
    private JwtUtil jwtUtil;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private ImmunityPathService immunityPathService;
    @Value("${jwt.tokenSign}")
    private String tokenSign;
    @Value("${token.header}")
    private String header;

    @Value("${doc.visualization.enable}")
    private Boolean visualization;

    @SneakyThrows
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();
        String url = request.getURI().getPath();
        List<String> immuPaths = immunityPathConfig.getPaths();
        if (immuPaths.contains(url)){
            return chain.filter(exchange);
        }
       if (visualization && (url.indexOf(API_URI) >= 0)){
            return chain.filter(exchange);
        }
        String authorization = request.getHeaders().getFirst(tokenSign);
        //没有特定的请求头以及请求头不是以特定字符串开头的直接返回
        if (StringUtils.isBlank(authorization)){
            Result result = Result.failure(StatusCode.OPERATION_ERROR_WITHOUT_TOKEN);
            byte[] bits = JSON.toJSONString(result).getBytes(StandardCharsets.UTF_8);
            DataBuffer buffer = response.bufferFactory().wrap(bits);
            response.getHeaders().add("Content-Type", "application/json; charset= UTF-8");
            return response.writeWith(Mono.just(buffer));
        }
        //判断字符串头部
        if (!authorization.startsWith(header)){
            Result result = Result.failure(StatusCode.OPERATION_ERROR_TOKEN);
            byte[] bits = JSON.toJSONString(result).getBytes(StandardCharsets.UTF_8);
            DataBuffer buffer = response.bufferFactory().wrap(bits);
            response.getHeaders().add("Content-Type", "application/json; charset= UTF-8");
            return response.writeWith(Mono.just(buffer));
        }
        //将字符串base64解密
        String jwtVoStr = authorization.substring(7);
        byte[] jwtVoStrByte = Base64Utils.decodeFromString(jwtVoStr);
        JwtVo jwtVo = JSON.parseObject(new String(jwtVoStrByte), JwtVo.class);
        //判断jwt是否为空
        if (StringUtils.isBlank(jwtVo.getJwt())){
            Result result = Result.failure(StatusCode.OPERATION_ERROR_WITHOUT_TOKEN);
            byte[] bits = JSON.toJSONString(result).getBytes(StandardCharsets.UTF_8);
            DataBuffer buffer = response.bufferFactory().wrap(bits);
            response.getHeaders().add("Content-Type", "application/json; charset= UTF-8");
            return response.writeWith(Mono.just(buffer));
        }
        //判断jwt是否过期
        //先通过expireTime快速判断第一遍
        //若过期
        Date date = new Date();
        if (date.after(new Date(jwtVo.getExpireTime()))){
            //再进入token判断一下,防止篡改
            //过期则继续后续判断
            if (jwtUtil.isTokenExpired(jwtVo.getJwt())){
                //判断refreshjwt是否为空
                if (StringUtils.isBlank(jwtVo.getRefreshJwt())){
                    Result result = Result.failure(StatusCode.OPERATION_ERROR_WITHOUT_TOKEN);
                    byte[] bits = JSON.toJSONString(result).getBytes(StandardCharsets.UTF_8);
                    DataBuffer buffer = response.bufferFactory().wrap(bits);
                    response.getHeaders().add("Content-Type", "application/json; charset= UTF-8");
                    return response.writeWith(Mono.just(buffer));
                }
                //再判断refreshJwt是否也过期
                //若refreshjwt过期,直接重定向到登录页
                if (jwtUtil.isTokenExpired(jwtVo.getRefreshJwt())){
                    //303状态码表示由于请求对应的资源存在着另一个URI,应使用GET方法定向获取请求的资源
                    response.setStatusCode(HttpStatus.SEE_OTHER);
                    response.getHeaders().set(HttpHeaders.LOCATION, LOGIN_URl);
                    return response.setComplete();
                }
                //若refreshjwt没过期,需要刷新jwt并返回给前端
                JwtVo jv = jwtUtil.refreshToken(jwtVo.getJwt());
                byte[] bytes = JSON.toJSONString(jv).getBytes();
                String enStr = Base64Utils.encodeToUrlSafeString(bytes);
                Map<String, String> map = new HashMap<>();
                map.put("token",enStr);
                Result result = Result.failure(StatusCode.TOKEN_NEEDS_TO_BE_REFRESHED,map);
                byte[] bits = JSON.toJSONString(result).getBytes(StandardCharsets.UTF_8);
                DataBuffer buffer = response.bufferFactory().wrap(bits);
                response.getHeaders().add("Content-Type", "application/json; charset= UTF-8");
                return response.writeWith(Mono.just(buffer));
            }
        }
        //未过期直接放行
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

简化一下逻辑如下:

  1. 从请求头中取出自定义的鉴权包装token
  2. 包装token采用base64加密,因此需要再解密
  3. 先判断jwt是否过期,未过期直接放行
  4. 在判断refresh是否过期,也过期的话直接重定向到登录页
  5. jwt过期但refreshJwt未过期,这里直接生成新的包装token,base64加密后返回

4.总结

巧妙的用了一个jwt的包装类,实际上就是第二个refreshJwt只是比jwt过期时间长些,且只调用一次,它被调用的时候必然jwt已经过期了,但用户还属于在活跃区间,这时后台刷新token,用户完全是没有感觉的,并且刷新token是在jwt过期之后,也不存在同一个用户同时存在多个有效token存在的问题!可以说是兼顾了用户体验和安全性

yulouchunqiu
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token超时刷新策略
bieber007的博客
09-14 3741
需求分析 我们在做用户中心,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token刷新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 791
什么是JSON Web TokenJWT)?JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其...
JWTToken超时刷新策略
热门推荐
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwttoken自己没有超时刷新机制,所以这里简单贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户的JWT生成的Token作为k、v存储到cache缓存里面(这候k、v值一样) * 2、当该用...
jwt
越思考越清晰
04-12 1万+
例子 npm init -y npm i express jsonwebtoken dotenv npm i nodemon -D // package.json "scripts": { "devStart": "nodemon server.js", "devStartAuth": "nodemon authServer.js", "test": "echo \"Er...
前后端分离,使用websocket刷新token
qiuxinfa123的博客
06-01 2153
之前提到过刷新token的思路:关于刷新token的几点思考 现在,springBoot + vue的项目中,使用websocket刷新token,来解决token过期后如何刷新的问题。 思路也很简单,就是在出现token解析出现过期异常,捕获它,重新生成token,一般会设置一个时间限制,不然没有意义。 后端主要代码: boolean validateToken(String authToken,String username){ try { .
Vue3.x使用Element Plus组件登录过期多次弹窗问题
BreenCL的博客
11-29 1588
Vue3.x使用Element Plus组件登录过期多次弹窗问题 一、问题 Vue3.x版本配合使用Element Plus组件库,当前用户登录过期,出现多次弹窗,效果如下图所示: 出现的原因,后端进行身份过期的判断,当过期请求接口参数code!==200,前端响应拦截做了统一错误抛出处理; 二、解决 解决方法分为两种: 第一种(与Vue2.x版本问题类似):这种方式适用于在响应拦截统一进行了抛错提示处理,利用一个状态值进行限制,当code!==200在响应拦截处对响应数据进
Jwt-Spring-Security-JPA:后端MVP使用Spring Security和MySQL JPA展示了具有多次登录,超时刷新注销(带有内存失效)的JWTJson Web令牌)身份验证
04-30
一个演示项目,解释了使用Spring Security和MySQL JPA使用JWTJson Web令牌)身份验证进行后端身份验证。 支持以下功能: 基于常规电子邮件/用户名的注册,并具有管理员支持 使用Spring Security进行常规登录并...
gateway和jwt网关认证实现过程解析
08-25
Gateway 作为入口点,负责处理所有的请求,而 JWTJSON Web Token)则是用于身份验证和授权的 token。下面是 Gateway 和 JWT 网关认证实现过程的详细解析。 首先,让我们了解一下Gateway 的概念。Gateway 是一种...
jwt学习Spring-security
01-18
Json Web TokenJWT)是一种轻量级的授权 token,广泛应用于跨域用户认证,特别是在前后端分离、微信小程序、App 开发等场景中。JWT 由三部分组成:头信息、payload 和签名。头信息包含令牌类型和签名算法,...
istio 实战:JWT 认证
01-05
本实战主要关注的是 Istio 的安全性方面,特别是 JSON Web Token (JWT) 认证的实现。JWT 是一种轻量级的身份验证和授权机制,广泛用于分布式系统中。 JWT 认证在 Istio 中的角色是确保只有经过身份验证的用户和服务...
shiro_jwt.rar
04-02
整合过程中可能遇到的难点包括JWT的过期策略刷新机制、以及如何在无状态的环境中处理会话超时。解决方案可以是定期更新JWT,或者在JWT中添加刷新令牌,当JWT过期,客户端使用刷新令牌获取新的JWT。 通过以上...
vue+axios 拦截器实现统一token的案例
10-14
3. **JWTJson Web Token)和Token刷新**:在上述代码中,如果后端返回了新的`Authorization`头,我们将用它替换本地的token。这可能涉及到JWT刷新机制,通常在JWT包含一个过期时间(`exp`),当接近过期,后端...
springboot整合 shrio+jwt的登录及权限控制.rar
05-20
在本文中,我们将深入探讨如何在Spring Boot应用中整合Shiro和JWTJSON Web Token)以实现用户登录和接口权限控制。Spring Boot以其简洁、快速的特性被广泛应用于开发Java Web应用,而Shiro和JWT则分别是安全管理...
vue+koa2实现session、token登陆状态验证的示例
12-08
对于Token验证,可以使用如JWTJSON Web Tokens)这样的库。用户登录后,服务器生成一个token并返回。客户端将其存储,并在后续请求的Header中携带。服务器端需要解析并验证这个token,确认其有效性。这通常涉及一...
通过Android客户端访问web服务器,实现一个登录功能
08-12
- **令牌验证**:登录成功后,服务器返回一个JWTJSON Web Token)或OAuth令牌,客户端每次请求都需携带此令牌,以验证用户身份。 6. **测试**: - **单元测试**:分别测试客户端和服务端的各个组件,确保它们...
理解JWT的使用场景和优劣
程序猿DD
04-24 4078
作者:徐靖峰 原文:https://www.cnkirito.moe/2018/04/20/jwt-learn-3/经过前面两篇文章《JSON Web Token - 在...
Java实战:实现JWT刷新令牌机制
最新发布
oandy0的博客
02-25 1828
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
jwt重放攻击_有关JWT(Json Web Token)如何解决并发问题的思考
weixin_39771301的博客
12-19 472
前段时间开了一个《从零实现Lumen-JWT扩展包》的教程。在写这篇文章之前,教程已经进行到了JWT的解析这部分。为什么这几天没继续发教程,也是因为如题的原因。而截止这篇文章之前,我已经完成了Lumen-JWT扩展包的开发工作,自己试了下,能用,也挺顺手。最后还剩下一些单元测试没写。还是怪自己太年轻,觉得别人的不好用,自己造一个,想从根本上解决JWT的并发问题,这几天尝试了很多,都没有找到很好的解...
jwt token刷新策略
07-27
JWT (JSON Web Token) 是一种用于身份验证和授权的开放标准。它是一种包含了用户声明信息的安全令牌。通常情况下,JWT 令牌在生成后会有一个特定的有效期。 当 JWT 令牌过期,需要刷新令牌以保持用户的登录状态。下面是一些常见的 JWT 令牌刷新策略: 1. 定期刷新:在生成 JWT 令牌,同生成一个短期有效的刷新令牌。当 JWT 令牌过期,客户端使用刷新令牌请求服务器颁发一个新的 JWT 令牌。服务器验证刷新令牌的有效性并根据需要颁发新的 JWT 令牌。 2. 延长过期时间:在每次请求中,服务器检查 JWT 令牌的有效性。如果 JWT 令牌即将过期,服务器可以颁发一个新的 JWT 令牌并将其返回给客户端。客户端在收到新的 JWT 令牌后,可以将其用于后续的请求。 3. 强制重新登录:当 JWT 令牌过期,服务器拒绝任何使用该 JWT 令牌进行的请求,并要求用户重新进行身份验证。这种策略可能会对用户体验产生一些影响,因为用户需要重新登录才能继续操作。 选择合适的刷新策略取决于应用程序的需求和安全性要求。在实现刷新策略,需要注意令牌的有效期、刷新令牌的有效性验证、令牌的存储方式等方面的安全性考虑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值