JwtToken使用-重点看一下过期时间

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量4.6w 收藏 21
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qsx741olm/article/details/93135141
版权

最近在做一个app,登录验证是用的jwt的token验证,今天来记录一下......

我的本次实例操作主要参考了下面资料

https://jwt.io/introduction/

https://blog.csdn.net/jikeehuang/article/details/51488020

https://www.cnblogs.com/ganchuanpu/archive/2017/05/17/6870240.html

https://www.cnblogs.com/xiekeli/p/5607107.html

https://blog.csdn.net/superdog007/article/details/80704234

下面是具体步骤:

1.添加jar包

然后是jwt token的具体实现

三个常量分别是

  保存在服务端的密钥,

  jwt令牌的有效时间

    刷新令牌的有效时间

jwt内置了许多加密编码,我这里采用Hs256加密,将自己设定的特有密码进行base编码,生成一个key

这一段是生成一个usertoken,

jwt token包含三部分 分别是header,payload(载荷),sign(签名)

header用来设置自己token的类型和使用的编码,payload存放用户的安全信息,因为jwt提供的编码是可逆的,所以不要存放用户的关键信息

sign是token的一个签名,由headr,payload以及key决定,当客户端发来一个key的时候,只要校验签名是否正确即可

 

这一段代码和上一张图在同一个方法内,主要用于实现令牌的刷新,本来刷新时间应该存放在redis里,但是我条件有限,只能先存放在数据库中

 

token的校验从传来的token中获得载荷payload,重新生成一个token,拿到新token的签名sign,将新的sign和旧sign比较,当两个sign一致时则通过验证

这一段代码和上一段在同一个方法内,当连个sign不一致时说明客户端token被篡改,直接返回一个null,在拦截器中做判断当为null时直接回到登陆界面

当t oken过期 ExpiredJwtException e 会自动捕获,我们在捕获到这个异常时,进行令牌的刷新,然后返回这个新的令牌

两个sign一致就直接返回原先的token。

令牌的刷新将之前存放在数据中刷新有效时间取出,与当前时间进行比较,如果小于当前的刷新有效时间则刷新令牌,然后更新数据库,返回新的token字符串,

如果该用户连已经长时间未使用app,导致当前时间已经超过了令牌刷新的时间,则删除数据库中的对应数据,token返回null;

客户端的token是放在request的header中发到后台的,所以需要从heaer中取出

 

 拿到的token是这样子的,所以需要对这个字符串按照空格截取,拿到真正有用的token

我们拿到校验返回过来的字符串,当这个字符串为空时,客户端返回到登陆界面

当两个token不相等时,说明校验传回来的token是新的,那么我们修改响应头中token为新的token,然后程序继续执行

........

第一次使用jwt,对jwt安全性还很不了解......只能先这样了

香草天空Sky
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
JWT生成Token示例
abcdefXML的博客
08-01 476
使用JWT生成Token https://www.cnblogs.com/wbxk/p/10768718.html
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 9243
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
Vue+elementui+JWT+AOP+回车键+token自动续期 实现登录功能
jq1223的博客
03-09 957
功能介绍:登录成功后,用户页面1分钟无操作返回登录页面,包括新增等按钮 效果: vue登录 首先导jar包: <!-- jwt jar 包--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 738
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
JWT 登录认证及 Token 自动续期
詹Sir的博客
06-08 1679
要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?
jwt token实例操作
weixin_30767835的博客
08-31 1642
最近在做一个app,登录验证是用的jwttoken验证,今天来记录一下...... 我的本次实例操作主要参考了下面资料 https://jwt.io/introduction/ https://blog.csdn.net/jikeehuang/article/details/51488020 https://www.cnblogs.com/ganchuanpu/archive/2017/...
JWT - 生成token并配置过期时间
只会CV也没关系的
11-06 1496
话说项目配置了Token, 就像是炒菜加味精。 一滴加进去,鲜味倍增, 保证安全又好吃。
token系统讲解及过期处理
欧阳的技术博客
07-25 1万+
token详细讲解,是什么,用来做什么?如何解决token过期的问题?最好的方案分享
JWT 使用入门(二)token有效期
qq_37534947的博客
10-12 3573
生成token,设置有效时间1分钟,其中密钥设置为"itcast"注意签发时间需要小于过期时间
API接口之JWT设置token过期时间(二)
热门推荐
尼古拉斯大树的博客
10-11 6万+
目录 1.什么是Jwt 2.token是什么 3.为什么要使用token 4.如何实现token 5.JWT的简单案例 6.API接口token案例 6.1 token的创建 6.2 用户验证流程 7.测试流程 7.1 项目地址 7.2 表结构 1.什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成tok...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
你可以设置一个过期时间,以在一定时间后自动清除Token,避免安全风险。在Django Rest Framework Simple JWT中,这个设置可以通过`SIMPLE_JWT`配置完成: ```python SIMPLE_JWT = { 'ACCESS_TOKEN_LIFETIME': ...
Auth-api-JWT-demo
03-08
- **安全性考虑**:项目可能会涉及如何安全地存储和传输JWT,以及设置合适的过期时间以防止会话固定攻击。 - **错误处理**:当JWT无效或过期时,API需要返回适当的错误响应。 - **刷新令牌**:为了提高用户体验,...
api鉴权-token验证机制springboot版本java后端
04-24
在`application.properties`或`application.yml`中,我们可以配置相关的JWT属性,如Token过期时间、签名校验的密钥等。 测试这部分功能,我们可以创建一个`TokenTest`类,模拟用户登录并获取Token,然后使用这个...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
一旦请求被拦截,系统会检查JWT的有效性,包括签名、过期时间等。 5. **资源服务器配置**:如果项目同时包含资源服务器,需要配置相应的安全规则,确保只有持有有效JWT的请求才能访问受保护的资源。 6. **测试和...
在ASP.NET Core中实现一个Token base的身份认证实例
10-20
本文将详细介绍如何在ASP.NET Core中实现一个基于Token的身份认证实例,重点在于使用JWT(Json Web Tokens)作为Token的实现方式。 传统的Web身份认证通常依赖于Cookie或Session,但这在多终端、API驱动的应用场景...
java jwt刷新_jwt刷新token
weixin_32562455的博客
02-27 2978
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
JWT 讲解与 token 过期自动续期解决方案
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
jwt_token的有效时间和刷新时间
wo240的专栏
04-18 8636
有效时间和刷新时间都是固定的 1、token 的有效时间是说签发的 token 仅在 ttl 时间内可以用来正常使用 (鉴权,获取用户信息等操作),过了这个有效时间后,改 token 将被废弃,放入黑名单,路由中间件鉴权也将会失败。 2、刷新时间是指在 refresh_ttl 时间内,你可以使用之前签发的 token (此时已经失效了) 来换取一个新的 token,新的 token 的有效时间还是 ttl。后续的鉴权验证需要使用新的 token 才能正常通过。 用之前即将过期的 t..
关于jwt过期时间的问题
05-24 3822
相信使用jwt这种规范进行鉴权的同学们都会遇到这样一个问题:“token过期了怎么处理?“” 假设一个场景: 你在生成token的时候设置了过期时间,假设过期时间为2个小时。 假如用户是0点登录的,那么签发给他的这个token应该在2:00过期,但是用户在1:59还在你的网站或者APP上操作,2点突然就被告知需要重新登录,是不是很郁闷! 本来就应该是用户一直在浏览你的网站,那么他...
.net JWT token过期时间不正确
07-20
对于 .NET 中的 JWT token,确保过期时间正确设置需要注意以下几点: 1. 确保使用JWT 库是最新版本。在 .NET 中,常用的 JWT 库包括 System.IdentityModel.Tokens.Jwt 和 Microsoft.IdentityModel.Tokens。确保你使用的是最新版本的库,以获得最佳的功能和修复了可能存在的问题。 2. 仔细检查过期时间的设置。在生成 JWT token 时,确保过期时间(expiration time)是正确设置的,并且与你的需求相符。一般来说,过期时间应该是一个未来的时间点,例如 `DateTime.UtcNow.AddMinutes(1)` 表示过期时间为当前时间加上 1 分钟。 3. 验证过期时间。在验证 JWT token 时,确保你正确地获取到了 token 中的过期时间,并与当前时间进行比较。使用 `DateTime.UtcNow` 获取当前时间,并与 token过期时间进行比较,判断是否已经过期。 ```csharp var tokenHandler = new JwtSecurityTokenHandler(); var jwtToken = tokenHandler.ReadJwtToken(jwtTokenString); var expirationTime = jwtToken.ValidTo; // 获取过期时间 if (expirationTime < DateTime.UtcNow) { // token过期,处理相关逻辑 } ``` 4. 检查时区设置。在处理过期时间时,确保你使用的是正确的时区设置。在 .NET 中,默认使用的是 UTC 时间,因此在比较过期时间时,也要使用 UTC 时间。 如果你仍然遇到过期时间不正确的问题,请提供更多相关的代码和上下文信息,以便我们能够更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值