Jwt Token 的刷新机制设计

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量1.7k 收藏 2
点赞数
文章标签: java spring redis 设计模式 python
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654088810&idx=1&sn=c122229d46ae2c66b3bbdc348ec87167&chksm=80d80a3fb7af8329f14b6c98f60c48081902fa2aeb14e4d4968733384639eea391c2fdf2a1b3&scene=126&&sessionid=0
版权

Jwt Token 的刷新机制设计

Intro

前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 token 一旦颁发就不能够进行作废,所以通常 jwt token 的有效期一般会比较短,但是太短了又会比较影响用户的用户体验,所以就有了 refresh token 的参与,一般来说 refresh token 会比实际用的 access token 有效期会长一些,当 access token 失效了,就使用 refresh token 重新获取一个 access token,再使用新的 access_token 来访问服务。

Sample

我们的示例在前面的基础上增加了 refresh_token,使用示例如下:

注册服务的时候启用 refresh_token 就可以了

services.AddJwtTokenService(options =>
{
    options.SecretKey = Guid.NewGuid().ToString();
    options.Issuer = "https://id.weihanli.xyz";
    options.Audience = "SparkTodo";
    // EnableRefreshToken, disabled by default
    options.EnableRefreshToken = true;
});

启用了 refresh token 之后,在生成 token 的时候就会返回一个带着 refresh token 的 token 对象(TokenEntityWithRefreshToken) 否则就是返回只有 acess token 的对象 (TokenEntity)

public class TokenEntity
{
    public string AccessToken { get; set; }
    public int ExpiresIn { get; set; }
}

public class TokenEntityWithRefreshToken : TokenEntity
{
    public string RefreshToken { get; set; }
}

然后我们就可以使用 refresh token 来获取新的 access token 了,使用方式如下:

[HttpGet("RefreshToken")]
public async Task<IActionResult> RefreshToken(string refreshToken, [FromServices] ITokenService tokenService)
{
    return await tokenService
        .RefreshToken(refreshToken)
        .ContinueWith(r =>
            r.Result.WrapResult().GetRestResult()
        );
}

GetToken 接口和上次的示例相比稍微有一些改动,主要是体现了有没有 refresh token 的差异,ValidateToken 和之前一致

[HttpGet("getToken")]
public async Task<IActionResult> GetToken([Required] string userName, [FromServices] ITokenService tokenService)
{
    var token = await tokenService
        .GenerateToken(new Claim("name", userName));
    if (token is TokenEntityWithRefreshToken tokenEntityWithRefreshToken)
    {
        return tokenEntityWithRefreshToken.WrapResult().GetRestResult();
    }
    return token.WrapResult().GetRestResult();
}

[HttpGet("validateToken")]
public async Task<IActionResult> ValidateToken(string token, [FromServices] ITokenService tokenService)
{
    return await tokenService
        .ValidateToken(token)
        .ContinueWith(r =>
            r.Result.WrapResult().GetRestResult()
        );
}

验证步骤如下:

  • 获取 token

5581a32efc25f129baa85a5e6f1c7076.png

4867fb7721b653f3f63cc50fae76a660.png

access token

754a276d9342a300afb8515e0a985544.pngrefresh token


  • 验证 access token

d8826fc044b9703fbe95996127a2b900.png

  • 使用 refresh token 验证 token

c0e258fbdcb526f5b42a6bb6d2115ecd.png

  • 使用 refresh token 获取新的 access token

64f248e539d4a5bf7a7180ca83307c0c.png

renew token with the refresh token

2f43db6a4433ca76d33187fb1d8b077f.png

new access token

  • 验证新的 access token

88b9f7851b141ed19e9e82ed83fc9f8a.png

validate token with the new access token

Implement

从上面 token 解析出来的内容大概可以看的出来实现的思路,我的实现思路是仍然使用 Jwt 这套机制来生成和验证 refresh token,只是 refresh token 的 audience 和 access token 不同,另外 refresh token 的有效期一般会更长一些,这样我们就不能把 refresh token 直接当作 access token 来使用,因为 token 验证会失败,而之所以利用 Jwt 的机制来实现也是希望能够简化 refresh token,利用 jwt 的无状态,不需要使得无状态的应用变得有状态,有看过一些别的实现是直接使用存储将 refresh token 保存起来,这样 refresh token 就变成有状态的了,还要依赖一个存储,当然如果你希望使用有状态的 refresh token 也是可以自己扩展的,下面来看一些实现代码

ITokenService 提供了 token 服务的抽象,定义如下:

public interface ITokenService
{
    Task<TokenEntity> GenerateToken(params Claim[] claims);

    Task<TokenValidationResult> ValidateToken(string token);

    Task<TokenEntity> RefreshToken(string refreshToken);
}

JwtTokenService 是基于 Jwt 的 Token 服务实现:

public class JwtTokenService : ITokenService
{
    private readonly JwtSecurityTokenHandler _tokenHandler = new();
    private readonly JwtTokenOptions _tokenOptions;

    private readonly Lazy<TokenValidationParameters>
        _lazyTokenValidationParameters,
        _lazyRefreshTokenValidationParameters;

    public JwtTokenService(IOptions<JwtTokenOptions> tokenOptions)
    {
        _tokenOptions = tokenOptions.Value;
        _lazyTokenValidationParameters = new(() =>
            _tokenOptions.GetTokenValidationParameters());
        _lazyRefreshTokenValidationParameters = new(() =>
            _tokenOptions.GetTokenValidationParameters(parameters =>
            {
                parameters.ValidAudience = GetRefreshTokenAudience();
            })
        );
    }

    public virtual Task<TokenEntity> GenerateToken(params Claim[] claims)
        => GenerateTokenInternal(_tokenOptions.EnableRefreshToken, claims);

    public virtual Task<TokenValidationResult> ValidateToken(string token)
    {
        return _tokenHandler.ValidateTokenAsync(token, _lazyTokenValidationParameters.Value);
    }

    public virtual async Task<TokenEntity> RefreshToken(string refreshToken)
    {
        var refreshTokenValidateResult = await _tokenHandler.ValidateTokenAsync(refreshToken, _lazyRefreshTokenValidationParameters.Value);
        if (!refreshTokenValidateResult.IsValid)
        {
            throw new InvalidOperationException("Invalid RefreshToken", refreshTokenValidateResult.Exception);
        }
        return await GenerateTokenInternal(false,
            refreshTokenValidateResult.Claims
                .Where(x => x.Key != JwtRegisteredClaimNames.Jti)
                .Select(c => new Claim(c.Key, c.Value.ToString() ?? string.Empty)).ToArray()
            );
    }

    protected virtual Task<string> GetRefreshToken(Claim[] claims, string jti)
    {
        var claimList = new List<Claim>((claims ?? Array.Empty<Claim>())
            .Where(c => c.Type != _tokenOptions.RefreshTokenOwnerClaimType)
            .Union(new[] { new Claim(_tokenOptions.RefreshTokenOwnerClaimType, jti) })
        );

        claimList.RemoveAll(c =>
            JwtInternalClaimTypes.Contains(c.Type)
            || c.Type == JwtRegisteredClaimNames.Jti);
        var jtiNew = _tokenOptions.JtiGenerator?.Invoke() ?? GuidIdGenerator.Instance.NewId();
        claimList.Add(new(JwtRegisteredClaimNames.Jti, jtiNew));
        var now = DateTimeOffset.UtcNow;
        claimList.Add(new Claim(JwtRegisteredClaimNames.Iat, now.ToUnixTimeMilliseconds().ToString(), ClaimValueTypes.Integer64));
        var jwt = new JwtSecurityToken(
            issuer: _tokenOptions.Issuer,
            audience: GetRefreshTokenAudience(),
            claims: claimList,
            notBefore: now.UtcDateTime,
            expires: now.Add(_tokenOptions.RefreshTokenValidFor).UtcDateTime,
            signingCredentials: _tokenOptions.SigningCredentials);
        var encodedJwt = _tokenHandler.WriteToken(jwt);
        return encodedJwt.WrapTask();
    }

    private static readonly HashSet<string> JwtInternalClaimTypes = new()
    {
        "iss",
        "exp",
        "aud",
        "nbf",
        "iat"
    };

    private async Task<TokenEntity> GenerateTokenInternal(bool refreshToken, Claim[] claims)
    {
        var now = DateTimeOffset.UtcNow;
        var claimList = new List<Claim>()
        {
            new (JwtRegisteredClaimNames.Iat, now.ToUnixTimeMilliseconds().ToString(), ClaimValueTypes.Integer64)
        };
        if (claims != null)
        {
            claimList.AddRange(
                claims.Where(x => !JwtInternalClaimTypes.Contains(x.Type))
            );
        }
        var jti = claimList.FirstOrDefault(c => c.Type == JwtRegisteredClaimNames.Jti)?.Value;
        if (jti.IsNullOrEmpty())
        {
            jti = _tokenOptions.JtiGenerator?.Invoke() ?? GuidIdGenerator.Instance.NewId();
            claimList.Add(new(JwtRegisteredClaimNames.Jti, jti));
        }
        var jwt = new JwtSecurityToken(
            issuer: _tokenOptions.Issuer,
            audience: _tokenOptions.Audience,
            claims: claimList,
            notBefore: now.UtcDateTime,
            expires: now.Add(_tokenOptions.ValidFor).UtcDateTime,
            signingCredentials: _tokenOptions.SigningCredentials);
        var encodedJwt = _tokenHandler.WriteToken(jwt);

        var response = refreshToken ? new TokenEntityWithRefreshToken()
        {
            AccessToken = encodedJwt,
            ExpiresIn = (int)_tokenOptions.ValidFor.TotalSeconds,
            RefreshToken = await GetRefreshToken(claims, jti)
        } : new TokenEntity()
        {
            AccessToken = encodedJwt,
            ExpiresIn = (int)_tokenOptions.ValidFor.TotalSeconds
        };
        return response;
    }

    private string GetRefreshTokenAudience() => $"{_tokenOptions.Audience}_RefreshToken";
}

在生成 refresh token 的时候会把关联的 access token 的 jti(jwt token 的 id,默认是一个 guid 可以通过option 自定义)写到 access token 中,claim type 可以通过 option 自定义,这样如果想要实现 refresh token 所属的 access token 的匹配校验也是可以实现的。

生成 refresh token 的时候会把生成 access token 时的 claims 信息也会生成在 refresh token 中,这样做的好处在于使用 refresh token 刷新 access token 的时候就可以直接根据 refresh token 生成 access token 无需别的信息,刷新得到的 access-token 中会有之前的 access token 的一个 id,如果想要记录所有 token 的颁发过程也是可以实现的。

如果想要实现有状态的 Refresh token 只需要重写 JwtTokenServiceGetRefreshTokenRefreshToken 两个虚方法即可

Integration with JwtBearerAuth

如何和 asp.net core 的 JwtBearerAuthentication 进行集成呢?为了方便集成,提供了一个扩展来方便的集成,只需要使用 AddJwtTokenServiceWithJwtBearerAuth 来注册即可,实现代码如下:

public static IServiceCollection AddJwtTokenServiceWithJwtBearerAuth(this IServiceCollection serviceCollection, Action<JwtTokenOptions> optionsAction, Action<JwtBearerOptions> jwtBearerOptionsSetup = null)
{
    Guard.NotNull(serviceCollection);
    Guard.NotNull(optionsAction);
    if (jwtBearerOptionsSetup is not null)
    {
        serviceCollection.Configure(jwtBearerOptionsSetup);
    }
    serviceCollection.ConfigureOptions<JwtBearerOptionsPostSetup>();
    return serviceCollection.AddJwtTokenService(optionsAction);
}

JwtBearerOptionsPostSetup 实现如下:

internal sealed class JwtBearerOptionsPostSetup :
    IPostConfigureOptions<JwtBearerOptions>
{
    private readonly IOptions<JwtTokenOptions> _options;

    public JwtBearerOptionsPostSetup(IOptions<JwtTokenOptions> options)
    {
        _options = options;
    }

    public void PostConfigure(string name, JwtBearerOptions options)
    {
        options.Audience = _options.Value.Audience;
        options.ClaimsIssuer = _options.Value.Issuer;
        options.TokenValidationParameters = _options.Value.GetTokenValidationParameters();
    }
}

JwtBearerOptionsPostSetup 主要就是配置的 JwtBearerOptionsTokenValidationParameters 以使用配置好的一些参数来进行验证,避免了两个地方都要配置

使用示例如下:

首先我们准备一个 API 来验证 Auth 是否成功,API 很简单,定义如下:

[HttpGet("[action]")]
[Authorize(AuthenticationSchemes = "Bearer")]
public IActionResult BearerAuthTest()
{
    return Ok();
}

我们先获取一个 access token,然后调用接口来验证 Auth 能否成功

1695b9f3412b0b26676b8987506c1795.png

Bearer token test

9adc5655f8559e03e28629440fe61d45.png

No token

More

除了上面的示例,你也可以参考这个项目 https://github.com/WeihanLi/SparkTodo/tree/master/SparkTodo.API,之前独立使用 Jwt token 的,现在也使用了上面的实现

目前的实现基于可以满足我自己的需要了,还有一些可以优化的点

  • 现在对于 refresh token 的校验可以优化一下,目前只是验证了一个 refresh token 的合法性,验证 owner jwt token id 虽然可以实现,但是有些不太方便,可以优化一下

  • 现在 refresh token 签名用到的 key 和 access token 是同一个,应该允许用户分开配置

  • 使用 refresh token 获取新的 token 时只返回 access token,可以支持返回新的 token 时返回 refresh_token

你觉得还有哪些需要改进的地方呢?

References

  • https://github.com/WeihanLi/SparkTodo

  • https://github.com/WeihanLi/SparkTodo/tree/master/SparkTodo.API

  • https://github.com/WeihanLi/WeihanLi.Web.Extensions

  • https://github.com/WeihanLi/WeihanLi.Web.Extensions/tree/dev/samples/WeihanLi.Web.Extensions.Samples

  • 更轻易地实现 Jwt Token

8a55c07cf9f9fe6c4a75548e90252eae.png

dotNET跨平台
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwttoken自动续约_JWT Token 刷新和作废
weixin_39736047的博客
12-21 977
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
JWT Token生成及验证
07-16
7. **刷新Token策略**:为了避免JWT长期有效带来的风险,通常会配合使用刷新TokenRefresh Token)。当JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常...
php jwt token刷新方案,JWT刷新token策略
weixin_28696185的博客
03-17 1387
springcloud的项目用JWT做身份验证,对于token过期时间的刷新策略整理如下图:刷新策略在登录接口中返回两个token,一个是用来请求业务接口验证身份信息的accessToken,一个是过期后用来获取新的tokenrefreshTokenrefreshToken中不携带权限等信息,因为不需要让refreshToken去请求业务接口,只用来获取新的tokenrefreshToken...
如何做到无感刷新Token?
lxw1844912514的博客
05-08 95
????????最新2024IDEA永久激活(支持全家桶)????????关注上面公众号回复“激活码”,获取最新永久激活来源:juejin.cn/post/7316797749517631515为什么需要无感刷新Token?自动刷新token前端token续约疑问及思考图片为什么需要无感刷新Token?「最近浏览到一个文章里面的提问,是这样的:」当我在系统页面上做业务操作的时候会出现突然闪退的情况,然后跳转到登录页面需要...
php jwt token刷新方案,吉微博客-Thinkphp5.1利用php-jwt实现token刷新token
weixin_32480781的博客
03-17 655
php-jwt是一个非常好用的token机制,它配合app可实现安全性的用户鉴权问题,但是token都有一个过期时间,如果过期了,如何让用户无感知进行刷新呢?其实这个主要是在前端进行判断,如果token过期,后端肯定会给前端返回一个过期提示,同时我们定义一个错误码来标识,如:1002,那前端拿到这个标识进行判断,如果过期,则去调用刷新接口,具体看下面的代码:首先通过composer进行安装:com...
Spring Security Jwt Token 自动刷新
huan的学习记录
06-07 9273
最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。
基于token的登录验证服务器,一种基于JWT认证token刷新机制研究
weixin_29057695的博客
07-30 381
周虎摘 要:JWT(JsonWebToken)认证作为一种服务器端无状态验证方式,在分布式开发中得到了广泛的应用。但是,由于token信息的本身特点,支持的有效时间是固定的,当在token有效时间内用户操作没有完成,操作就会中断,需要重新登录验证。本文通过对比传统Cookie/Session身份验证机制在分布式开发中存在的不足,提出了一种基于JWT认证过程中动态刷新token的方法,有效地解决了...
jwt token 过期刷新_替换JWT
@涂涂博客
09-15 2531
问题: 为了安全,很多人都知道token长期保持不变不安全,通常会采取刷新token机制。当是当下,很多刷新机制是为了刷新刷新,常见的token刷新机制是:到期后刷新,或是提前刷新,或者定时刷新。如果token被盗,黑客和合法用户都可以通过刷新来获取新的token,这并没带来实际的安全提升。: 方案: 每个token有一个较长的有效期,比如90天,这个是为了满足长期登录的需求; 每个token有一个较短的刷新间隔,比如2个小时。常常更换token 提升安全性; 每当token刷新时,创建并颁
JWT 刷新 token
xiyeming的博客
04-24 2397
项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwttoken自己没有超时刷新机制,所以这里简单贴出解决方案。 解决方案:通过过期时间验证 废话不多刷直接上代码。方法并不完美,如果有更好的方案希望大神们能告知一下。 创建token /** * 生成签名 * * @param params 你的参数 ,可以是多个。根据你的业务需求 * @r...
JWT登录过期-自动刷新token方案介绍
热门推荐
rdhj5566的专栏
07-14 1万+
在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在⽤户操作页⾯期间,突然提⽰登录,则体验很不友好,所以就有了token⾃动刷新需求。但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去中⼼化,⽆状态化,所以有所违背类似这样的业务,有阿⾥云⾸页,没有做token刷新令牌维护,但是符合对应的思想⽤户登录成功的时候,⼀次性给他两个Token,分别为AccessTokenRefreshTokenAccessToken有效期较短,
【shiro】shiro整合JWT——4.JWT Token刷新/续签
kevin的博客
06-02 2854
之前在写shiro整合JWT的时候,在ShiroRealm中有写到token刷新;但后来看了很多别人的项目demo和博客发现之前的写法不太合适。这里参考之前看过的各个项目与博客,延续这之前shiro整合JWT内容的做了一波缝合怪。主要对之前的ShiroRealm,JwtUtil,JwtFilter类进行修改。ps:本文主要以记录核心思路为主。
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
.net core 3.1 jwt刷新token
07-05
.NET Core 3.1 JWT(JSON Web Token刷新令牌是一个重要的身份验证机制,它涉及到Web应用的安全性。JWT是一种轻量级的身份验证和授权机制,它允许服务端为客户端(通常是一个Web应用或API)颁发一个令牌,这个令牌...
koa+jwt实现token验证与刷新功能
10-16
这通常涉及到两个JWT:一个访问令牌(Access Token)用于短期认证,另一个刷新令牌(Refresh Token)用于长期存储,当访问令牌过期时,用户可以使用刷新令牌获取新的访问令牌,而无需重新登录。 ```javascript app....
golang 接口
m0_70982551的博客
07-24 923
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 498
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 613
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
jwttoken过期
07-27
2. 刷新Token:有些身份验证服务提供了Token刷新机制。您可以使用刷新Token来获取新的有效Token。请查阅身份验证服务的文档,了解如何使用刷新Token功能。 3. 更新过期时间:如果您有权限修改Token的过期时间,您...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值