关于 JWT的token自动刷新和JWT的可控性的问题

最新推荐文章于 2023-01-19 17:27:01 发布
最新推荐文章于 2023-01-19 17:27:01 发布
阅读量958 收藏 1
点赞数
分类专栏: 遇到的问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41609488/article/details/107602360
版权

问题:如果用户一直在操作,那么就不能让token自动过期了,而应该自动刷新
还有如果用户在另一个地方重新登录,那么前一个登录的token应该失效而不能继续使用

这里原本用JWT就是想使用无状态登录,可是如果完全无状态登录,首先中间字段如果要保存用户ID等信息就暴露了部分信息,其次完全无状态服务端就对其不可控,而且也不能自动刷新,到时间就过期了,所以考虑后还是需要解决这些问题

解决办法:
关于Redis中保存RefreshToken信息(做到JWT的可控性)

  1. 登录认证通过后返回AccessToken信息(在AccessToken中保存当前的时间戳和帐号)
  2. 同时在Redis中设置一条以帐号为Key,Value为当前时间戳(登录时间)的RefreshToken
    现在认证时必须AccessToken没失效以及Redis存在所对应的RefreshToken,且RefreshToken时间戳和AccessToken信息中时间戳一致才算认证通过,这样可以做到JWT的可控性
  3. 如果重新登录获取了新的AccessToken,旧的AccessToken就认证不了,因为Redis中所存放的的RefreshToken时间戳信息只会和最新生成的AccessToken信息中携带的时间戳一致,这样每个用户就只能使用最新的AccessToken认证
  4. Redis的RefreshToken也可以用来判断用户是否在线,如果删除Redis的某个RefreshToken,那这个RefreshToken所对应的AccessToken之后也无法通过认证了,就相当于控制了用户的登录,可以剔除用户
    关于根据RefreshToken自动刷新AccessToken
  5. 本身AccessToken的
最低0.47元/天 解锁文章
qq_41609488
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
java jwt刷新_jwt刷新token
weixin_32562455的博客
02-27 2967
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token刷新问题,今天跟别人闲聊,聊到了关于业务中token刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT登录过期-自动刷新token方案介绍
热门推荐
weixin_42397937的博客
08-14 1万+
JWT登录过期-自动刷新token方案介绍前言方案一、前端控制检测token,无感知刷新刷新方案核心逻辑疑问:RefreshToken有效期那么长,和直接将AccessToken的有效期延长有什么区别缺点:优点:方案二、后端存储判断过期时间优点:缺点:总结 前言 在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在用户操作页面期间,突然提示登录,则体验很不友好,所以就有了token自动刷新需求。 但是这个自动刷新方案,基本都离不开服务端状.
SpringBoot 实现 JWT token 自动续期
weixin_43924444的博客
01-19 425
接上次说的jwt作为用户登陆验证token,这次聊一下token自动续期实战。
SpringBoot - JWT实现登录刷新token
起风
09-27 4750
1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。简答理解就是一个身份凭证,用于服务识别。 JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证。这种特性使其在分布式场景,更便于扩展使用。 2. JWT组成部分 JWT有三部分组成,头部(header),载荷(payload),是签名(signature)。 头部 头部主要声明了类型(jwt),以及使用的加密算法( HMAC SHA256) 载荷 载荷就是存放
javajava问问题题点
05-16
jwt(JSON Web Token)是一种用于身份验证和授权的 tokenjwt 可以用来验证用户的身份和权限,并且可以在分布式系统中用于身份验证。 分布式事务 分布式事务是指在分布式系统中进行的事务处理。分布式事务可以...
SpringBlade微服务开发平台
最新发布
02-03
采用前后端分离的模式,前端开源两个框架:Sword (基于 ...借鉴Security,封装了Secure模块,采用JWTToken认证,可拓展集成Redis等细颗粒度控制方案。 稳定生产了三年经历了从 fat jar -> docker -> k8s的技术架构
spring-angularjs-oauth2-sample:Dave Syer在集成Spring安全性方面的工作的扩展,OAuth2和AngularJS文章
05-25
Spring,AngularJS和OAuth2示例Dave Syer在集成Spring安全性方面的工作的扩展,OAuth2和AngularJS文章。 扩展区域单独的(可部署的)身份验证和资源服务器。 基于角色的资源访问check_token api集成不使用JWT怎么跑...
MyAPI:一个轻松创建很棒的API的模板:high_voltage:
05-02
但并不简单 :mobile_phone: 移动友好型支持跨域资源共享(CORS),其中包含受限制资源的域列​​表 :key: 安全使用与智威汤逊的身份验证策略和其他技术来提高应用程序的安全性 :busts_in_silhouette: 为用户量身定做...
SpringBlade:SpringBlade 是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。采用Spring Boot 2.4 、Spring Cloud 2020 、Mybatis 等核心技术,同时提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台
05-01
SpringBlade微服务开发平台 采用前后端分离的模式,前端开源两个框架: (基于 React、Ant Design)、 (基于 Vue、Element-UI) 后端采用SpringCloud全家桶,并同时对其...借鉴Security,封装了Secure模块,采用JWTToken
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot+JWT登录校验,以及JWT刷新机制
Slience Wind
08-15 7800
接上篇博客,继续讲解JWT的使用。 本部分内容主要是SpringBoot项目中具体使用JWT的代码实现,包括了登录创建Token,后续请求验证Token,并且加入了JWT刷新机制等等。 本文大纲: 1.JWT的引入 2.JWT工具类的实现 3.登录申请Token 4.请求验证Token 5.JWT刷新机制的实现 注意:本文注重使大家理解JWT如何在SpringBoot项目中集成和使...
JWT生成、有效性以及权限控制
qq_46068142的博客
09-28 162
jwt的生成、有效性以及权限控制
SpringBoot + Vue 集成 JWT 实现 Token 验证以及一种 Token 刷新策略的实现
庄周de蝴蝶的博客
02-01 1746
前言 本文将介绍基于 SpringBoot 和 Vue 的前后端分离项目集成 JWT 的一种思路,此外还包括在包括记住密码功能情况下 Token刷新策略,本文假设你对以下知识有一定的了解,如果未接触过,建议先看一下推荐链接的内容: JWT 的基本知识:JWT入门教程 跨域问题:解决前后端分离项目跨域问题 SpringBoot 集成 redis:通过源码了解redis的自动配置 下面这张图是本文实现 Token 验证以及刷新 Token 的基本思路,本文展示了实现最终效果的核心代码,完整代码(包括前端
JWT令牌刷新机制
YinRJ的博客
03-28 4430
JWT令牌刷新机制 问题来源 JWT令牌保存在客户端,会存在过期时间,那么如果令牌一直没有变化,那么过期时间也不会发生变化。假设一个JWT令牌的过期时间是5天,但是用户在这5天内一直在使用本系统,那么理论上当到了第五天的时候就应该是自动对这个令牌进行续期操作,而不是让用户重新登录。 解决办法 双令牌机制 设置长短日期的两个令牌,两个令牌都传给客户端,客户端每次携带两个令牌请求 当两个令牌都没有过期的时候,服务端正常验证逻辑 如果短令牌过期,长令牌没有过期,那么服务端重新生成两个新的令牌返回给客户端,客户端
Springboot中整合Jwt
五行阿尔法的博客
11-04 216
刷新方案:当AccessToken即将过期的时候,例如提前30分钟,客户端利用RefreshToken请求指定的API获取新的。3、由于RefreshToken存储在服务端redis中,假如这个RefreshToken也过期,则提示重新登录;相比除了ip,还有设备号,UA,header头中终端信息,地点等可以采用,进行绑定。优点:服务端无需存储相关内容,性能高,假如用户广州登录,泄露了token给杭州的黑客,依旧用不了。缺点:如果用户用使用过程中ip变动频繁,则操作会经常提示重新登录,体验不友好。
jwt token 过期刷新_如何在SpringBoot中集成JWT(JSON Web Token)鉴权
weixin_39705931的博客
11-21 726
这篇博客主要是简单介绍了一下什么是JWT,以及如何在Spring Boot项目中使用JWT(JSON Web Token)。1.关于JWT1.1 什么是JWT老生常谈的开头,我们要用这样一种工具,首先得知道以下几个问题。 - 这个工具是什么,这个工具解决了什么问题 - 是否适用于当前我们所处得业务场景 - 用了之后是否会带来任何其他问题 - 怎么用才是最佳实践那什么是JWT呢?以下是我对jwt官网...
token失效自动刷新
qq_42024195的博客
12-29 3290
前言 在开发过程中,我们都会接触到token(令牌),为什么要用token呢?主要的作用就是为了安全,用户登录时,服务器会返回一个有时效性的token,用户的每一次请求都需要携带上token,服务器会验证token的有效性。 需求 在用户登录后给前端发送一个token,并且有效期为72个小时。当token失效时: 1、用户处于非活跃状态(关闭浏览器),当用户再次访问网站时,需要重新登录。 ...
使用JWT生成token
shkstart的博客
06-22 5748
一、使用JWT进行身份验证 1、传统用户身份验证 Internet服务无法与用户身份验证分开。一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 服务器向用户返回session_id,session信息都会写入到用户的Cookie。 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 服务器收到session_id并对比之前保存的数据,确认用户的身份。 这种模式最大的问题是,没有分布式架构,无法支持横向扩展。
jwttoken区别那个更安全
07-27
- Token可以在服务器端进行存储,使得可以对其进行撤销或刷新,增加了管理和控制的灵活性。 综上所述,JWTToken都可以用于身份验证和授权,但在具体实现上有所不同。选择哪个更安全取决于具体的应用场景和安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值