前后端分离如何给用户无感应式的 token 的刷新

最新推荐文章于 2024-07-28 14:19:06 发布
最新推荐文章于 2024-07-28 14:19:06 发布
阅读量1k 收藏 13
点赞数 1
分类专栏: token 文章标签: jwt 分布式 前后端分离 token的刷新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41965731/article/details/115631502
版权

基于传统的Session认证

1. 认证方式

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

2. 认证流程

在这里插入图片描述

3. 暴露问题

  1. 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大

  2. 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

  3. 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

  4. 在前后端分离系统中就更加痛苦:如下图所示
    也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid 到服务器,服务器还要查询用户信息。同时如果用户很多。这些信息存储在服务器内存中,给服务器增加负担。还有就是CSRF(跨站伪造请求攻击)攻击,session是基于cookie进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。还有就是sessionid就是一个特征值,表达的信息不够丰富。不容易扩展。而且如果你后端应用是多节点部署。那么就需要实现session共享机制。 不方便集群应用。

基于JWT的认证

token的使用流程

在这里插入图片描述
JWT的资源很多,我在这里就不在赘述,我主要来写出 token 刷新的问题。

当我们做前后端分离项目的时候我们通常会使用 token 作为代替 session和 cookie的一种实现方案,因为 token是无状态的也可以携带一些数据在payload中,我们在生成 token的时候一般都会设置一个过期时间,但是这就会有一些其他的问题,当token过期的时候我们不能直接让用户跳转到登录页面,如果用户在做表单提交操作,用户点击提交发现token过期直接跳转到登录页面,用户心里一万头草泥马奔腾而过,这时就需要引入token的刷新,当token失效的时候我们需要刷新token,也就是获取新的token,继续执行该操作,但是这次确实是可以执行,但是如何将新生成的 token 响应给前端,因为用户的其他操作也需要携带新的token才可以正常执行,即便将token返回给了前端,前端也将token存在了请求头中,我们还需要继续执行用户触发了 刷新 token 的请求操作,我们需要做的就是让用户无感知的进行刷新 token,并且我们需要判断用户的活跃状态,如果用户长时间没有进行操作,就让用户重新登录,如果用户只是在一定时间内没有进行操作,就可以给用户生成新的 token , 让用户生成新的token 继续操作,这样给用户的体验才会更好。

问题一:如何刷新 token ?

刷新 token 无非就是生产新的 token ,直接利用工具类生成新的 token 即可,当然在这之前我们先需要判断 原有 token 是否过期。

/**
 * JwtToken生成的工具类
 * JWT token的格式:header.payload.signature
 * header的格式(算法、token的类型):
 * {"alg": "HS512","typ": "JWT"}
 * payload的格式(用户名、创建时间、生成时间):
 * {"sub":"wang","created":1489079981393,"exp":1489684781}
 * signature的生成算法:
 * HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
 */
public class JwtTokenUtil {
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
    private static final String CLAIM_KEY_USERNAME = "sub";
    private static final String CLAIM_KEY_CREATED = "created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

    /**
     * 根据负责生成JWT的token
     */
    private String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            LOGGER.info("JWT格式验证失败:{}", token);
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 从token中获取登录用户名
     */
    public String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 验证token是否还有效
     *
     * @param token       客户端传入的token
     * @param userDetails 从数据库中查询出来的用户信息
     */
    public boolean validateToken(String token, UserDetails userDetails) {
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /**
     * 判断token是否已经失效
     */
    public boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }

    /**
     * 根据用户信息生成token
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    /**
     * 刷新 token 就是生产新的 token
     *	
     *	因为我们使用的是 结合 springsecurity + jwt 实现的权限验证,所有我直接可以在 springSecurity的上下文直接拿出认证对象生成新的 token	
	 *    
     * @param oldToken 带tokenHead的token
     */
    public String refreshHeadToken(String oldToken) {
        this.generateToken((UserDetails)SecurityContextHolder.getContext().getAuthentication());
    }

    /**
     * 判断token在指定时间内是否刚刚刷新过
     * @param token 原token
     * @param time 指定时间(秒)
     */
    private boolean tokenRefreshJustBefore(String token, int time) {
        Claims claims = getClaimsFromToken(token);
        Date created = claims.get(CLAIM_KEY_CREATED, Date.class);
        Date refreshDate = new Date();
        //刷新时间在创建时间的指定时间内
        if(refreshDate.after(created)&&refreshDate.before(DateUtil.offsetSecond(created,time))){
            return true;
        }
        return false;
    }
}

问题二:前端如何接收新的 token

我们在响应给前端数据的时候,如何 遇到 token 过期失效,就先生成新的 token ,通过新的 token 进行执行操作,操作完成后我们就把新生成的 token 携带到响应头中,让前端去判断读取,如何有就将新的 token 去替换旧的 token 。这我们就可通过过滤器进行实现

/**
 * JWT登录授权过滤器
 */
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    private ThreadLocal<String> threadLocal = new ThreadLocal();

    private static final Logger LOGGER = LoggerFactory.getLogger(JwtAuthenticationTokenFilter.class);
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader(this.tokenHeader);

        // 如果请求头携带了  token,并以我们指定的 Bearer 开头
        if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
            String authToken = authHeader.substring(this.tokenHead.length());// The part after "Bearer "

            // TODO 判断 jwttoken 是否过期? 如果过期如何给它生成新的 token 并且考虑到高并发的问题(在分布式环境下可以采用分布式锁)
            // TODO 给出一个实现方案,在线判断是否过期,如果过期根据 SecurityContextHolder.getContext().getAuthentication() 获取到用户的认证信息
            //  ,生成新的的jwt,继续访问该资源,但是访问完之后但是如何将新的jwt传递给前端

            // 1. 判断是否有 token  并且 jwt 已经过期
            if(tokenHeader != null && jwtTokenUtil.isTokenExpired(authToken)){
                // 生成新的 token 
                authToken =  jwtTokenUtil.refreshHeadToken();
                // 将新生成的 token 设置到响应头中
                response.setHeader("RefreshToken ",newToken);
            }

            String username = jwtTokenUtil.getUserNameFromToken(authToken);
            LOGGER.info("checking username:{}", username);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    LOGGER.info("authenticated user:{}", username);

                    // 验证成功 将认证对象放入的 SpringSecurity的上下文中
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        chain.doFilter(request, response);
    }
}

由于这关于前端,我实在有点不是很熟悉,具体的代码我就不写了,我也写不出来。

问题三:如何根据用户的活跃状态判断是否要用户登录

在用户登录已经要生成一个token , 我们在生成 token 的同时在生成一个refresh_token ,这个 refresh_token 设置的时间要比 token 的时间要长一点,比如 token 的时间设置为 30 分钟, refresh_token 就可以设置为 7 天,可以将这个 refresh_token 存储在 redis 里面,设置有效时间, 另外每次刷新 token ,生成新 token 的时候都可以将 refresh_token 的过期时间重新设置, 如果用户7天内没有进行操作,就让用户进行重新登录

在这里插入图片描述

我看其他的博客,还有一种方式就是生成双token , 把两个token ( token 和 refresh_token refresh_token的时间长于 token) 都传递给前端,前端如果利用 token 访问判断显示过期,判断 refresh_token 是否过期,如果没有过期,进行刷新 token ,如果过期了就强制挑战到登录页面
第二种方式的实现参考

以南_ttrg
关注
专栏目录
前后端分离token配合redis无感刷新,不是双令牌!不是双令牌!不是双令牌!
qq_44357316的博客
02-08 397
双令牌的不用进了! 前端:使用axios拦截器响应器,路由守卫 后端:Interceptor,redis,token 新手代码谢谢
前后端分离中的无痛刷新token机制
weixin_34237596的博客
12-08 8046
今天我们来说一说前后端分离中的无痛刷新token机制,在手机app中应该经常用到,大家都知道在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间,没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的, 那么既然有刷新时间,问题就来了 前后端交互的过程中token如何存储? token过期...
基于spring security实现vue2前后端分离的双token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3909
网上许多博主,放张图片讲讲双token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
springBoot实现无感刷新-双Token(实战)
javaeEEse的博客
07-04 1643
Access Token:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。Refresh Token:Refresh token是用来在access token过期后重新获取新的access token的。它的有效期通常较长。
java token 超时_前后端分离——token超时刷新策略
weixin_28689729的博客
02-16 1344
前言记录一下前后端分离下————token超时刷新策略!需求场景昨天发了一篇记录 前后端分离应用——用户信息传递 中介绍了token认证机制,跟几位群友讨论了下,有些同学有这么一个疑惑:token失效了,应该怎么做?强制定向到登录页?其实理论上如果是活跃用户token失效后,假如用户正在操作表单,此时突然定向到登录页面,那用户体验太差了。实现目标延长token过期时间活跃用户token过期时...
若依前后端分离项目无感知刷新token整合
最新发布
weixin_48811255的博客
07-28 565
当accessToken过期的时候,会响应401,在前端响应拦截器中拦截到响应结果,然后带着refreshToken去发起请求,根据refreshToken生成新的accessToken返回给前端,再重新执行原请求。1、 首先就是我们登录成功的时候要返回两个token标识给前端,accessToken(权限认证token)和refreshToken(无感刷新token)2、前端将token保存起来。
token 过期刷新令牌_前后端分离中的无痛刷新token机制
weixin_31491059的博客
01-14 2287
今天我们来说一说前后端分离中的无痛刷新token机制,在手机app中应该经常用到,大家都知道在前后端是以token的形式交互,既然是token,那么肯定有它的过期时间,没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的,那么既然有刷新时间,问题就来了前后端交互的过程中token如何存储?token过期时,前端该怎么处理当用户正在操作时,遇到token过期该怎么办?直接跳...
springboot jwt token前后端分离_前后端分离JWT用户认证
weixin_39929721的博客
12-06 1951
前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。传统方式前后端分离通过Restful API进行数据交互时,如何验证用户的登录信息及权限。在原...
java前后端分离使用token_前后端分离以及token的使用
weixin_31971727的博客
02-27 2457
前后端分离以及token的使用为什么使用前后端分离:首先说一下jsp的工作原理:jsp实际上也是是一个继承自Servlet接口的java类,实际上它就是一个Servlet,JSP的页面渲染是在后端完成的,经过tomcat的处理后,把jsp转为html后,再统一发送给前端(浏览器)显示出来image那现在手机移动端app这么普及,那我怎么写一份后端代码,即又可以显示在手机app上面,又可以在pc端跑...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
php token过期,前后端分离项目,token过期,重新登录和刷新token的问题
weixin_32033241的博客
03-24 1161
这个我刚好在回答后端问题的时候做过详细的解释和方案说明因为用的是我自己的框架,所以你看token部分的逻辑就好,不需要纠结具体的写法 主要就是checkTokenExpire 和 isTokenAlmostExpiredvarUSER=APPSITE({//Stuct&datauserid:LOCAL.get('userid'),openid:...
前后端分离项目之记录子路由页面刷新数据丢失
weixin_53999382的博客
08-23 332
前后端分离项目之记录子路由页面刷新数据丢失 情况是这样的。父路由是一个表格。点击单行或者按钮跳转到子路由。页面渲染在表格下方。如图 基本业务逻辑已经搞定了。中间也是踩了好多坑。因为工期比较赶。前后端都要自己一个人敲。前端又不太会。只能等项目弄好了。再补博客了。 目前实现的功能就是。钉钉制作审批单。通过连接器,还有那啥集中流。来调用第三方的接口。我就用springboot写了个后台。接收审批流回调。要求九个钉钉组织都走一个程序。老板问我能不能做?心里cnm。嘴上牟稳忒。捣鼓了几天搞好了。本来说自动生成,能传数
token过期机制的问题
qq_46940224的博客
10-15 4204
浅谈一下token过期机制的问题
Token无感知刷新
广漂程序猿DevinRock
03-13 459
无感知刷新Token是指在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token的无感知刷新用户可以无缝继续使用应用。可以幻想一下,你在一个应用中,填写了很多个表单,最后提交的时候,401认证失败,这个时候你心里肯定一万个....所以为了解决这个问题,给用户更好的体验,本文介绍无感知刷新token的实现。在实现过程中,会发现该实现方式大部分都是在请求拦截和相应拦截中设置的,这样带来的问题就是,耦合性高,接口重试的机制不太好。token验证的原理。
SpringBoot集成jwt,解决前后端分离token跨域验证问题
weixin_46608377的博客
07-17 1175
在之前进行登录验证的,主要用的是session的方式,session是由客户端首次发起请求,后端为此创建空间,返回给前端用来身份识别标识sessionId,前端基于cookie存储起来,在后面的请求中都会携带sessionId,后端就会根据这sessionId识别出身份信息。前端sessionid是基于cookie进行存储的。这种方式会存在安全问题,如果被不法分子拦截这个sessionId或cookie信息,就能跳过后端验证,从而盗取你的信息。而且seesion这种方式容易占用到服务端的内存空间。
前后端分离token介绍以及自写的token校验机制
h2728677716的博客
08-22 1439
前后端分离后,如果客户端使用的原生应用(iOS,安卓),我们就无法使用cookie和session机制,所以我们使用另一套方案token token机制: 1.在前端对后端进行访问时,后端生成一个用base64加密的token串(包含个人信息过期时间和签名)返还给前端。 2.前端第接收到token并储存在前端。 3.前端再次访问是request请求携带token串 (一般放在http的请求头里面) 4.后端接收到请求后解析前端传来的token值,因为里面有之前加密的签名,所以把签名再生成一次,和前端传来的签
员工管理,分类管理——新增员工
m0_69087301的博客
10-23 62
目前存在的问题是:录入的用户名已存在,抛出异常后没有处理新增员工时,创建人和修改人id设置为了固定值。
JavaWeb程序设计学习笔记整理(6)-添加员工
qq_44458489的博客
04-09 815
三、添加员工的功能 第一步: 添加一个页面,名称为addemp.html 注意:在WebRoot,右击新建页面 自动生成代码,如图显示: 修改代码: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>添加员工信息&l...
web api前后分离开发时,jwt token无感刷新的实现
qq_34309663的博客
08-23 1034
基于.net web api,前后分离实现的无感刷新token的实现
VueJS实现前后端分离:登录与Token处理
"这篇教程详细介绍了如何在前后端分离的架构中使用VueJS进行前端开发,特别是关于登录功能和Token的处理。实验环境基于Vue 2.2.1,使用了Webpack作为构建工具,并依赖了vue-router和vue-resource等插件。" 在前后端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值