token刷新问题

已于 2022-10-24 21:40:23 修改
阅读量2.2k 收藏 5
点赞数 1
文章标签: 1024程序员节
于 2022-10-24 21:37:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54951190/article/details/127502022
版权

在我们实现登录流程时,常常使用token作为key,user对象作为value存入到redis当中,并且设置对应的时间。同时在登录时通常使用拦截器,对我们访问的路径进行拦截,当用户访问被拦截的路径时就会去刷新对应的token有效期,以此来实现长时间的登录。

例如:



public class LoginInterceptor implements HandlerInterceptor {

    private StringRedisTemplate stringRedisTemplate;

    public LoginInterceptor(StringRedisTemplate stringRedisTemplate) {
        this.stringRedisTemplate = stringRedisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1、从请求头中获取 token
        String token = request.getHeader("authorization");
        // 2、判断token是否为空
        if (StrUtil.isBlank(token)) {
            // 不存在报401
            response.setStatus(401);
            return false;
        }
        // 3、根据 token 从 redis 中获取用户信息
        String tokenKey = RedisConstants.LOGIN_USER_KEY + token;
        // 使用 entries 方法获取所有的 field-value
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(tokenKey);

        // 4、判断 userMap 是否为空
        if (userMap.isEmpty()) {
            // 不存在报401
            response.setStatus(401);
            return false;
        }

        // 4、将 userMap 转换为 UserDTO
        UserDTO user = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);

        // 5、将 user 保存到 ThreadLocal 中
        UserHolder.saveUser(user);

        // 6、刷新 token 过期时间
        stringRedisTemplate.expire(tokenKey, RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);

        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        UserHolder.removeUser();
    }
}

拦截器配置类:

package com.hmdp.config;

import com.hmdp.utils.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor(stringRedisTemplate))
                .excludePathPatterns(
                        "/shop/**",
                        "/voucher/**",
                        "/user/login",
                        "/user/code",
                        "/shop-type/**",
                        "/upload/**"
                );
    }
}

登录功能是基于拦截器做的校验功能,但是当前拦截器拦截的并不是所有的路径,而是拦截的需要登录的路径,如果用户登录后,一直访问的是首页这种不需要拦截的路径,那么拦截器就会一直不执行,token 的过期时间就不会刷新,那么当 token 过期后,用户访问例如像个人主页时就会出现问题,很不友好。那如何解决?可以在当前拦截器的基础再添加一个拦截器,让新的拦截器拦截一切路径,在该拦截内做 token 的刷新动作。

实现两个拦截器:

标题RefreshTokenInterceptor

刷新token


public class RefreshTokenInterceptor implements HandlerInterceptor {

    private StringRedisTemplate stringRedisTemplate;

    public RefreshTokenInterceptor(StringRedisTemplate stringRedisTemplate) {
        this.stringRedisTemplate = stringRedisTemplate;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1、从请求头中获取 token
        String token = request.getHeader("authorization");
        // 2、判断token是否为空
        if (StrUtil.isBlank(token)) {
            return true;
        }
        // 3、根据 token 从 redis 中获取用户信息
        String tokenKey = RedisConstants.LOGIN_USER_KEY + token;
        Map<Object, Object> userMap = stringRedisTemplate.opsForHash().entries(tokenKey);

        // 4、判断 userMap 是否为空
        if (userMap.isEmpty()) {
            return true;
        }

        // 4、将 userMap 转换为 UserDTO
        UserDTO user = BeanUtil.fillBeanWithMap(userMap, new UserDTO(), false);

        // 5、将 user 保存到 ThreadLocal 中
        UserHolder.saveUser(user);

        // 6、刷新 token 过期时间
        stringRedisTemplate.expire(tokenKey, RedisConstants.LOGIN_USER_TTL, TimeUnit.MINUTES);

        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        UserHolder.removeUser();
    }
}

标题LoginInterceptor拦截器

判断是否登录,这里使用了自定义的threadLocal类来保存登录用户信息


public class UserHolder {
    private static final ThreadLocal<User> tl = new ThreadLocal<>();

    public static void saveUser(User user){
        tl.set(user);
    }

    public static User getUser(){
        return tl.get();
    }

    public static void removeUser(){
        tl.remove();
    }
}




public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 判断当前用户是否登录
        if (UserHolder.getUser() == null) {
            // 未登录,设置状态码
            response.setStatus(401);
            // 拦截
            return false;
        }
        return true;
    }

}

标题MvcConfig 设置拦截规则

拦截器执行顺序应当是先执行 RefreshTokenInterceptor,而后再执行 LoginInterceptor,通过 orde 方法设置拦截器执行顺序,值越小,则执行顺序越优先。


@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
                .excludePathPatterns(
                        "/shop/**",
                        "/voucher/**",
                        "/user/login",
                        "/user/code",
                        "/shop-type/**",
                        "/upload/**"
                ).order(1);
        registry.addInterceptor(new RefreshTokenInterceptor(stringRedisTemplate)).addPathPatterns("/**").order(0);
    }
}

我不含糖
关注
token刷新并发 java_retrofit 刷新token并发处理
weixin_34369657的博客
02-27 964
情况说明在app开发中,我们需要保证用户登录之后,如果没有在其他设备上登录,则不需要再次登录,很多都会使用token作为安全令牌,开始阶段都会在登录时候获取,一直使用到下次登录。这样的token没有什么安全性可言,所以大多app都会做token时效性处理。刷新token流程图如下:刷新token流程图.png暂时我了解的方案有两种:在获取token的时候,同时获得token的有效时间和刷新toke...
token超时刷新策略
bieber007的博客
09-14 3827
需求分析 我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token刷新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
Token刷新机制
weixin_43914605的博客
07-01 1946
方法优点缺点基于定时器的自动刷新简单易实现,自动化管理不适用于后台刷新,可能导致不必要的网络请求基于请求拦截器的刷新高效,适用于后台刷新,减少不必要的网络请求,复杂度增加,需要处理并发刷新问题,同一时刻多个请求可能触发多次刷新。首次请求可能延迟基于响应拦截器的刷新只有在必要时才刷新 token,避免不必要的请求,能够处理 token 失效后的各种情况,包括并发问题。首次请求失败可能增加延迟。
业务场景---Token无感刷新
最新发布
weixin_36983013的博客
09-14 55
业务场景描述 假设用户正在填写一个复杂的表单,由于表单内容繁多,用户花费了很长时间才填完。这时,如果Token已经过期,系统会让用户重新登录,这种体验显然是非常糟糕的。为了避免这种情况,我们需要在Token即将过期或已经过期时,自动刷新Token,而不影响用户正在进行的操作。 技术实现思路 一、准备工作 前端框架选择:本文以Vue.js为例,结合Vue Router和Axios来实现Token...
Token 刷新并发处理解决方案
Star's Tech Blog
12-03 4642
Token 进行刷新续期,我们要解决并发请求导致重复刷新 Token问题,这也是设计刷新 Token 的难点。这里我会分别介绍前端和后端各自的处理方案。 后端方案:利用 Redis 缓存 当同时发起多个请求时,第一个接口刷新Token,后面的请求仍然能通过请求,且不造成 Token 重复刷新。那么,后端在用户第一次登录时,需要将生成的 Token 数据(token 和 createTime)缓存一份到 Redis 中。 当 Token 过期时,重新生成新的 Token 数据并更新 Redis 缓
vue的token刷新处理的方法
10-18
首先检查是否已有正在进行的 `token` 刷新请求,以防止并发刷新导致的问题。 4. **发起刷新请求**:如果不存在正在进行的刷新请求,将 `isRefreshing` 标志设置为 `true`,然后使用 `refresh_token` 发送刷新请求到...
Laravel (Lumen) 解决JWT-Auth刷新token问题
10-16
在Laravel (Lumen)框架中实现JWT-Auth刷新token问题及解决方案是我们要探讨的知识点。首先,需要理解在Laravel (Lumen)中使用JSON Web Tokens (JWT)作为认证机制时,用户可以通过JWT获取资源,但每次的访问都必须...
token刷新token刷新token刷新
04-09
"Token刷新"是这个话题的核心,它涉及到用户身份验证的持续性和安全性。以下是关于Token刷新的详细知识: 首先,我们需要理解什么是TokenToken通常是一个由服务端生成的随机字符串,用于证明客户端(如用户浏览器...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器会生成一个带有时效性的`token...
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
解决Shiro jwt并发刷新token问题
热门推荐
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessToken和RefreshToken中的时间戳是否一致,如果一致就重新生成一...
实现Token刷新机制
youngerxsd的博客
08-23 2063
开发的项目中,如果正在项目中编辑信息,编辑信息的时间的过程中token失效可能导致信息丢失怎么办?
token刷新token
hxx1024的博客
10-07 674
token刷新token import axios from 'axios' import store from '@/store' import { Message } from 'element-ui' import router from '@/router' import qs from 'qs' const request = axios.create({ // 配置选项 // baseURL, // timeout }) function redirectLogin ()
微信获取token解决并发问题
weixin_42609225的博客
02-09 487
微信的 token 是用来识别请求者身份的,因此在处理并发请求时需要特别注意。解决并发问题的方法可以采用以下几种: 加锁:在多个请求同时对 token 进行请求的情况下,使用锁的机制,只允许一个请求同时进行 token 的获取操作。 缓存:在微信获取的 token 有效期内,将它缓存在服务器上,避免每次请求都向微信请求 token。 限流:设置请求频率限制,在每个时间段内最多允许请求一定数量...
关于token在刚刚过期后的刷新问题
GmwEnterprise的博客
01-04 1201
Token无缝刷新 前后端分离的系统,假如这个系统是给客服人员使用,客服人员可能要在长达八个小时的时间上不停地工作;为了安全考虑,不给token设定永久的时常,而是给它一个可刷新时间区域:在当前token刚刚过期后的一段时间发起的请求,系统可以无缝刷新一次token,从而为使用者带来更好的体验,这是非常重要的。 Axios中的实现 原理简单阐述 实现很简单,在拦截器当中检测返回数据,检测到刚刚过期...
解决并发请求下刷新多个token问题
qq_42274445的博客
05-21 1714
使用redis加锁实现,拿到锁的线程进行token刷新,拿不到锁的线程跳过token刷新 具体实现 /** * 刷新AccessToken */ private boolean refreshToken(String uid,String account, ServletResponse response) { Boolean lock = JedisUtil.getLock(account);//获取锁 if(lock){
token刷新
weixin_43887958的博客
04-15 170
private static final Logger logger = LoggerFactory.getLogger(LoginTools.class); /** * 用户token,eg. token:1245637858 */ private final static String TOKEN_KEY = "token:%s"; /** * 在多长时间内用户不用再次登录,比如3月1日登录了,expires为7天,那么用户 * 在3月8日
access_token刷新机制
04-04
Access Token 刷新机制是为了避免 Access Token 过期而导致用户需要重新授权的问题。当用户授权后,系统会颁发一个 Access Token,该 Token 通常有一个有效期限。在这个有效期限内,用户可以使用该 Token 进行 API 调用等操作。但是一旦过期,该 Token 就无法使用了。为了避免这种情况,系统通常会提供一个 Access Token 刷新机制。 Access Token 刷新机制的工作原理如下: 1. 当 Access Token 快要过期时,客户端将请求刷新 Access Token。 2. 服务端验证客户端的身份和权限,并重新颁发一个新的 Access Token。 3. 客户端使用新的 Access Token 进行 API 调用等操作。 刷新 Access Token 的过程通常是自动完成的,对用户来说是透明的。这样就可以保证用户的操作不会因为 Access Token 过期而中断,提高了用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值