java 接口 token_API 开发中可选择传递 token 接口遇到的一个坑

最新推荐文章于 2023-04-12 17:15:43 发布

易·梦

最新推荐文章于 2023-04-12 17:15:43 发布

阅读量703

点赞数

文章标签： java 接口 token

本文链接：https://blog.csdn.net/weixin_33396759/article/details/114459287

版权

本文讲述了在Java API开发中使用JWT进行登录验证时遇到的Token过期问题及其解决方案。作者详细解释了如何在Token过期时自动刷新，并探讨了在某些接口上未正确处理刷新导致的问题及解决办法，还提到了并发情况下可能出现的Token刷新问题和JWT的黑名单宽限期设置。

摘要由CSDN通过智能技术生成

在做 API 开发时，不可避免会涉及到登录验证，我使用的是jwt-auth

在登录中会经常遇到一个token过期的问题，在config/jwt.php默认设置中，这个过期时间是一个小时，不过为了安全也可以设置更小一点，我设置了为五分钟。

五分钟过期，如果就让用户去登录，这种体验会让用户直接抛弃你的网站，所以这就会使用到刷新token这个功能

正常情况下是写一个刷新token的接口，当过期的时候前端把过期的token带上请求这个接口换取新的token

不过为了方便前端也可以使用后端刷新返回，直至不可刷新，我用的就是这个方法：使用 Jwt-Auth 实现 API 用户认证以及无痛刷新访问令牌

而坑就是这样来的，

在必须需要登录验证的接口设置刷新token

namespace App\Http\Middleware;

use App\Services\StatusServe;

use Closure;

use Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException;

use Tymon\JWTAuth\Exceptions\JWTException;

use Tymon\JWTAuth\Exceptions\TokenExpiredException;

use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;

class CheckUserLoginAndRefreshToken extends BaseMiddleware

{

/**

* 检查用户登录，用户正常登录，如果 token 过期

* 刷新 token 从响应头返回

* @param $request

* @param Closure $next

* @return \Illuminate\Http\JsonResponse|\Illuminate\Http\Response

* @throws JWTException

public function handle($request, Closure $next)

{

/****************************************

* 检查token 是否存在

****************************************/

$this->checkForToken($request);

try {

/****************************************

* 尝试通过 tokne 登录，如果正常，就获取到用户

* 无法正确的登录，抛出 token 异常

****************************************/

if ($this->auth->parseToken()->authenticate()) {

return $next($request);

}

throw new UnauthorizedHttpException('jwt-auth', 'User not found');

} catch (TokenExpiredException $e) {

try {

/****************************************

* token 过期的异常，尝试刷新 token

* 使用 id 一次性登录以保证此次请求的成功

****************************************/

$token = $this->auth->refresh();

$id = $this->auth

->manager()

->getPayloadFactory()

->buildClaimsCollection()

->toPlainArray()['sub'];

auth()->onceUsingId($id);

} catch (JWTException $e) {

/****************************************

* 如果捕获到此异常，即代表 refresh 也过期了，

* 用户无法刷新令牌，需要重新登录。

****************************************/

throw new UnauthorizedHttpException('jwt-auth', $e->getMessage(), null, StatusServe::HTTP_PAYMENT_REQUIRED);

}

// 在响应头中返回新的 token

return $this->setAuthenticationHeader($next($request), $token);

}

而有些页面，比如文章列表页面，这个接口登录与不登录皆可访问，不过登录的时候可以在页面上显示是否点赞了这篇文章。所以这个接口直接使用的是jwt-auth默认的option中间件

* This file is part of jwt-auth.

* (c) Sean Tymon

* For the full copyright and license information, please view the LICENSE

* file that was distributed with this source code.

namespace Tymon\JWTAuth\Http\Middleware;

use Closure;

use Exception;

class Check extends BaseMiddleware

{

/**

* Handle an incoming request.

* @param \Illuminate\Http\Request $request

* @param \Closure $next

* @return mixed

public function handle($request, Closure $next)

{

if ($this->auth->parser()->setRequest($request)->hasToken()) {

try {

$this->auth->parseToken()->authenticate();

} catch (Exception $e) {

}

return $next($request);

}

一开始也没有发现问题，直到测试的时候，发现文章列表页面点赞过的文章，过了一段时间再刷新的时候发现不显示已点赞，但是进入个人中心的已点赞文章可以看到。

刚开始测试没找出原因，直接暴力调试代码，发现没获取到登录用户，一想不对呀，已经传token为何获取不到。经过发现，去到个人中心，再回到新闻列表页就可以正常显示，过了一段时间又不显示了。

经过这一轮之后，大概明白，在新闻列表页时，token已经过期，但是当时图方便用的jwt-auth默认的中间件，不会刷新token，所以这个接口获取不到登录的用户。当进入个人中心，发现当前token已经过期，后台刷新token返回，这时候再回到文章列表页就可以得到正常的数据，一段时间后，token又失效了，所以有无法看到点赞过的文章

解决方法，自己写一个option中间件，当存在token的时候，也需要做token刷新处理。

namespace App\Http\Middleware;

use Closure;

use Exception;

class Check extends BaseMiddleware

{

public function handle($request, Closure $next)

{

if ($this->auth->parser()->setRequest($request)->hasToken()) {

try {

$this->auth->parseToken()->authenticate();

} catch (TokenExpiredException $e) {