java jwt刷新_SpringSecurity Jwt Token自动刷新实现代码示例

最新推荐文章于 2024-02-25 10:00:00 发布
最新推荐文章于 2024-02-25 10:00:00 发布
阅读量784 收藏 1
点赞数
文章标签: java jwt刷新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30209121/article/details/114772707
版权

本篇文章小编给大家分享一下SpringSecurity Jwt Token自动刷新实现代码示例,代码介绍的很详细,小编觉得挺不错的,现在分享给大家供大家参考,有需要的小伙伴们可以来看看。

功能需求

有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。

功能分析

1、token 的生成

使用现在比较流行的jwt来生成。

2、token 的自动延长

要实现 token 的自动延长,系统给用户 颁发 一个 token 无法实现,那么通过变通一个,给用户生成 2个 token ,一个用于 api 访问的token ,一个 用于在 token 过期的时候 用来 刷新 的 refreshToken。并且 refreshToken 的 生命周期要比 token 的生命周期长。

3、系统资源的保护

可以使用Spring Security来保护系统的各种资源。

4、用户如何传递 token

系统中token和refreshToken的传递一律放在请求头。

实现思路

1、生成 token 和 refreshToken

用户登录系统的时候,后台给用户生成token和refreshToken并放在响应头中返回

2、系统 判断 token 是否合法

token未失效的时的处理

token失效 ,如何使用refreshToken来生成新的token

e532be963dd5f84c503cd9ea560cd8d6.png

核心代码如下

1、过滤器代码,token判断和再次生成

package com.huan.study.security.token;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.huan.study.security.configuration.TokenProperties;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jws;

import lombok.RequiredArgsConstructor;

import lombok.extern.slf4j.Slf4j;

import org.apache.commons.lang3.StringUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.http.HttpStatus;

import org.springframework.http.MediaType;

import org.springframework.stereotype.Component;

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.nio.charset.StandardCharsets;

import java.util.HashMap;

import java.util.Map;

/**

* @author huan 2020-06-07 - 14:34

*/

@Component

@RequiredArgsConstructor(onConstructor = @__(@Autowired))

@Slf4j

public class TokenAuthenticateFilter extends OncePerRequestFilter {

private final TokenProperties tokenProperties;

private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

// 获取 认证头

String authorizationHeader = request.getHeader(tokenProperties.getAuthorizationHeaderName());

if (!checkIsTokenAuthorizationHeader(authorizationHeader)) {

log.debug("获取到认证头Authorization的值:[{}]但不是我们系统中登录后签发的。", authorizationHeader);

filterChain.doFilter(request, response);

return;

}

// 获取到真实的token

String realToken = getRealAuthorizationToken(authorizationHeader);

// 解析 jwt token

Jwsjws = JwtUtils.parserAuthenticateToken(realToken, tokenProperties.getSecretKey());

// token 不合法

if (null == jws) {

writeJson(response, "认证token不合法");

return;

}

// token 是否过期

if (JwtUtils.isJwtExpired(jws)) {

// 处理过期

handleTokenExpired(response, request, filterChain);

return;

}

// 构建认证对象

JwtUtils.buildAuthentication(jws, tokenProperties.getUserId());

filterChain.doFilter(request, response);

}

/**

* 处理token过期情况

*

* @param response

* @param request

* @param filterChain

* @return

* @throws IOException

*/

private void handleTokenExpired(HttpServletResponse response, HttpServletRequest request, FilterChain filterChain) throws IOException, ServletException {

// 获取刷新 token

String refreshTokenHeader = request.getHeader(tokenProperties.getRefreshHeaderName());

// 检测 refresh-token 是否是我们系统中签发的

if (!checkIsTokenAuthorizationHeader(refreshTokenHeader)) {

log.debug("获取到刷新认证头:[{}]的值:[{}]但不是我们系统中登录后签发的。", tokenProperties.getRefreshHeaderName(), refreshTokenHeader);

writeJson(response, "token过期了,refresh token 不是我们系统签发的");

return;

}

// 解析 refresh-token

JwsrefreshToken = JwtUtils.parserAuthenticateToken(getRealAuthorizationToken(refreshTokenHeader),

tokenProperties.getSecretKey());

// 判断 refresh-token 是否不合法

if (null == refreshToken) {

writeJson(response, "refresh token不合法");

return;

}

// 判断 refresh-token 是否过期

if (JwtUtils.isJwtExpired(refreshToken)) {

writeJson(response, "refresh token 过期了");

return;

}

// 重新签发 token

String newToken = JwtUtils.generatorJwtToken(

refreshToken.getBody().get(tokenProperties.getUserId()),

tokenProperties.getUserId(),

tokenProperties.getTokenExpireSecond(),

tokenProperties.getSecretKey()

);

response.addHeader(tokenProperties.getAuthorizationHeaderName(), newToken);

// 构建认证对象

JwtUtils.buildAuthentication(JwtUtils.parserAuthenticateToken(newToken, tokenProperties.getSecretKey()), tokenProperties.getUserId());

filterChain.doFilter(request, response);

}

/**

* 写 json 数据给前端

*

* @param response

* @throws IOException

*/

private void writeJson(HttpServletResponse response, String msg) throws IOException {

response.setCharacterEncoding(StandardCharsets.UTF_8.name());

response.setContentType(MediaType.APPLICATION_JSON_VALUE);

response.setStatus(HttpStatus.UNAUTHORIZED.value());

Mapparams = new HashMap<>(4);

params.put("msg", msg);

response.getWriter().print(OBJECT_MAPPER.writeValueAsString(params));

}

/**

* 获取到真实的 token 串

*

* @param authorizationToken

* @return

*/

private String getRealAuthorizationToken(String authorizationToken) {

return StringUtils.substring(authorizationToken, tokenProperties.getTokenHeaderPrefix().length()).trim();

}

/**

* 判断是否是系统中登录后签发的token

*

* @param authorizationHeader

* @return

*/

private boolean checkIsTokenAuthorizationHeader(String authorizationHeader) {

if (StringUtils.isBlank(authorizationHeader)) {

return false;

}

if (!StringUtils.startsWith(authorizationHeader, tokenProperties.getTokenHeaderPrefix())) {

return false;

}

return true;

}

}

2、jwt 工具类代码

package com.huan.study.security.token;

import io.jsonwebtoken.*;

import io.jsonwebtoken.impl.DefaultJws;

import lombok.AccessLevel;

import lombok.NoArgsConstructor;

import lombok.extern.slf4j.Slf4j;

import org.springframework.security.authentication.TestingAuthenticationToken;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.context.SecurityContextHolder;

import java.time.LocalDateTime;

import java.time.ZoneId;

import java.util.ArrayList;

import java.util.Date;

/**

* jwt 工具类

*

* @author huan

* @date 2020-05-20 - 17:09

*/

@Slf4j

@NoArgsConstructor(access = AccessLevel.PRIVATE)

public class JwtUtils {

/**

* 解析 jwt token

*

* @param token 需要解析的json

* @param secretKey 密钥

* @return

*/

public static JwsparserAuthenticateToken(String token, String secretKey) {

try {

final JwsclaimsJws = Jwts.parser()

.setSigningKey(secretKey)

.parseClaimsJws(token);

return claimsJws;

} catch (ExpiredJwtException e) {

return new DefaultJws<>(null, e.getClaims(), "");

} catch (UnsupportedJwtException | MalformedJwtException | SignatureException | IllegalArgumentException | IncorrectClaimException e) {

log.error(e.getMessage(), e);

return null;

}

}

/**

* 判断 jwt 是否过期

*

* @param jws

* @return true:过期 false:没过期

*/

public static boolean isJwtExpired(Jwsjws) {

return jws.getBody().getExpiration().before(new Date());

}

/**

* 构建认证过的认证对象

*/

public static Authentication buildAuthentication(Jwsjws, String userIdFieldName) {

Object userId = jws.getBody().get(userIdFieldName);

TestingAuthenticationToken testingAuthenticationToken = new TestingAuthenticationToken(userId, null, new ArrayList<>(0));

SecurityContextHolder.getContext().setAuthentication(testingAuthenticationToken);

return SecurityContextHolder.getContext().getAuthentication();

}

/**

* 生成 jwt token

*/

public static String generatorJwtToken(Object loginUserId, String userIdFieldName, Long expireSecond, String secretKey) {

Date expireTime = Date.from(LocalDateTime.now().plusSeconds(expireSecond).atZone(ZoneId.systemDefault()).toInstant());

return Jwts.builder()

.setHeaderParam("typ", "JWT")

.setIssuedAt(new Date())

.setExpiration(expireTime)

.claim(userIdFieldName, loginUserId)

.signWith(SignatureAlgorithm.HS256, secretKey)

.compact();

}

}

吕诺OK镜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java实现三天免登陆_JWT过期刷新问题,实现十五天免登陆
weixin_39599046的博客
11-21 858
违背的青春Spring Security(一):整合JWT实现登录功能Spring Security(二):获取用户权限菜单树Spring Security(三):与Vue.js整合Spring Security(四):更新前端路由获取方式Spring Security(五):前后端权限控制详解Spring Security(六):前端菜单,角色权限页面的搭建Spring Security(七)...
RefreshTokensWebApiExample:在ASP.NET Core Web Api项目中使用刷新jwt令牌的示例项目
05-16
在ASP.NET Web Api核心演示项目中刷新令牌 使用ASP.NET Core构建的Web Api的示例,该API使用刷新令牌使用户保持登录状态。 要了解有关在ASP.NET Core中使用Refresh和JSON Web令牌的更多信息,请阅读此回购是示例项目的。
Java实战:实现JWT刷新令牌机制
最新发布
oandy0的博客
02-25 1244
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
java JWT token 自动更新方案
qq_40837841的博客
05-08 3054
jwttoken自动更新策略
使用TokenJWT机制实现 登录认证
pshaoyi的专栏
09-10 746
使用redis缓存登录信息,生成一个唯一随机token 作为 redis的key,然后将token 存储到Jwts 对象中,生成新的jwtToken值返回给前台。项目访问时携带该 token,先进行JWT解析得到存储的随机token到redis进行查找登录对象数据。 1、创建自己的Token 管理类 import java.util.Calendar; import java.util.Date; import java.util.HashMap; import java.util.Map;...
SpringSecurity Jwt Token 自动刷新实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurityJWT实现token认证和授权.zip
08-09
在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。
java jwt刷新_关于JavaSpring Security JWT刷新令牌未过期
weixin_29743373的博客
02-27 564
我是Spring的新手,并且我正在使用Spring Security开发Spring Boot REST,目前我实现JWT令牌。 我有一些问题,但似乎找不到答案。 我尝试添加刷新令牌。起初,我以为我会将其与用户一起存储在数据库中,但是Spring Security自动执行所有操作,而且我似乎找不到如何在表用户的给定字段中存储它。因此,继续前进,我决定我将尝试使用Spring Security自...
json web token(jwt)的超时刷新策略
玉楼春秋的博客
07-29 2149
1. 前言 jwt
解决Shiro jwt并发刷新token问题
热门推荐
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessToken和RefreshToken中的时间戳是否一致,如果一致就重新生成一...
java 令牌访问_JWT访问令牌与刷新令牌(创建)
weixin_35813719的博客
02-26 687
我正在创建一个Asp.net核心REST服务 . 目前正在通过JWT承载令牌进行身份验证 .现在,我的代码看起来像:DateTimeOffset dtNow = DateTime.Now;Claim[] claims = new Claim[]{new Claim(JwtRegisteredClaimNames.Sub, strUsername),new Claim(JwtRegisteredCl...
基于 JWT + Refresh Token 的用户认证实践
Lambda
03-10 3456
HTTP 是一个无状态的协议,一次请求结束后,下次在发送服务器就不知道这个请求是谁发来的了(同一个 IP 不代表同一个用户),在 Web 应用中,用户的认证和鉴权是非常重要的一环,实践中有多种可用方案,并且各有千秋。 基于 Session 的会话管理 在 Web 应用发展的初期,大部分采用基于 Session 的会话管理方式,逻辑如下。 客户端使用用户名密码进行认证 服务端生成并...
模仿某B长期登录有效之双Token机制
weixin_53690059的博客
03-15 919
如需demo案例请私信我。小程序地址:https://github.com/CaseOfShe/school演示地址:https://www.bilibili.com/video/BV1q3411g71P。
JWTUtil定时生成并更新秘钥KEY
阿水的博客
05-06 1292
在实际应用中,为了保证密钥的安全性,我们需要定期更换密钥。可以通过定时任务或者其他方式,在系统每隔一段时间后自动生成一个新的密钥,然后将新的密钥存储在配置文件或者数据库中。同时,为了避免旧的密钥被误删或遗漏,最好也要将历史密钥进行备份和存储。
SpringSecurity Jwt Token 自动刷新有效期
06-02
Spring Security JWT Token 可以通过在 Token 中设置一个过期时间来实现自动刷新有效期。当 Token 过期前一段时间内,可以通过发送一个请求来触发 Token刷新,使其延长有效期。 具体实现可以通过在 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值