JWT设置过期时间隐藏的坑

已于 2024-09-13 09:23:46 修改
阅读量547 收藏 4
点赞数 6
文章标签: java spring
于 2024-09-13 09:10:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38501809/article/details/142197675
版权

JWT生成token时,设置过期时间通常如下:

  public static final int SESSION_TIME_OUT = 3600 * 24 *30;
 /**
     * 私钥加密token
     *
     * @param uid        载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间,单位分钟
     * @return JWT
     */
    public static String buildJwtRsaToken(Long uid, PrivateKey privateKey, int expire) {
        //签发时间. 注意:尽量比当前时间稍微提前一点,防止验证时间相隔太短,导致验证不通过
        long startTime = System.currentTimeMillis() - 60;
        //过期时间. 在签发时间的基础上,加上一个时长
        Date end = new Date(startTime + SessionConstants.SESSION_TIME_OUT * 1000);  //设置过期
        Date start = new Date(startTime);  //设开始
        return Jwts.builder()
                .claim(JWT_PAYLOAD_SID, createJTI())
                .setId(String.valueOf(uid))
                .setExpiration(end)
                .setIssuedAt(start)
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();

    }

执行生成token

 @Test
    public void testGenToken() throws Exception {
        String base = getBase();
        //获取当前认证的对象
        UserDTO userDTO = new UserDTO();
        userDTO.setUsername("username");
        userDTO.setUserId(10000L);
        //获取生成token的私钥
        PrivateKey privateKey = RsaUtils.getPrivateKey(base + privateKeyFileName);
        //定义token过期时间为一天
        int expireTime = 24 * 60;
        //生成token
        String token = JwtServiceImpl.buildJwtRsaToken(userDTO.getUserId(), privateKey, expireTime);
        System.out.println("token = " + token);
    }

运行结果:

token = eyJhbGciOiJSUzI1NiJ9.eyJzaWQiOiJOR05sTW1WaE1UZ3RZMll3WXkwME9HTTRMVGczTm1ZdE1USm1PVGswTmpObVl6QTAiLCJqdGkiOiIxMDAwMCIsImV4cCI6MTcyNDQ4NDQyMywiaWF0IjoxNzI2MTg3MzkwfQ.LF7H0sI-PU3DJhqOYCVgwd1xvzriCMOTckaYdqoq2Zrsnatb5cRStNa8H0TnDa0Vrv3tJLXNfYx7omzdvRo1PK9zP7_es6jnuE8DtJhK5YMWkfAcehJgO1zDOwOWbJx9Nr5vzNTMRT6B-bLSFJbTdk18c6ka68oowq7qoozVp5GbXYayrZpllCsUyGU3xMKOqCmb487au43yNx-M7ZmUIyzXuuXGZPDoq_6QSTYRzidBwbGz8XeMMjb6o-jwVoHvwtInYQ4YMEBDFsZlaglrhdDc2NLHPpGqHtdHMEAD--lopB0nqimv6W3wUasT2xcKiWBOsVxf6ajjukfmQAg5Zw

Process finished with exit code 0

看似一切正常
校验token时就会出问题

 private String getOneToken() throws Exception {
        String base = getBase();
        //获取当前认证的对象
        UserDTO userDTO = new UserDTO();
        userDTO.setUsername("username");
        userDTO.setUserId(10000L);
        //获取生成token的私钥
        PrivateKey privateKey = RsaUtils.getPrivateKey(base + privateKeyFileName);
        //定义token过期时间为一天
        int expireTime = 24 * 60;
        //生成token
        String token = JwtServiceImpl.buildJwtRsaToken(userDTO.getUserId(), privateKey, expireTime);
        System.out.println(token);

        return token;
    }


    @Test
    public void testCheckToken() throws Exception {
        //如果token格式正确,就验证token

        String token = getOneToken();
        //获取验证token的公钥
        String base = getBase();
        PublicKey publicKey = RsaUtils.getPublicKey(base + publicKeyFileName);

        Payload<String> payload = JwtServiceImpl.decodeJwtRsaToken(token, publicKey);

        String json = JsonUtil.pojoToJson(payload);

        System.err.println(json);
    }

执行结果如下

eyJhbGciOiJSUzI1NiJ9.eyJzaWQiOiJNV0poWlRKak0yUXRZalJpTUMwMFpXVmxMV0UyTVRjdE9URmxaVFJsTlRVM05UbGwiLCJqdGkiOiIxMDAwMCIsImV4cCI6MTcyNDQ4NDc5MSwiaWF0IjoxNzI2MTg3NzU5fQ.MQZ7tSPzo6L7pI2JYqbm7yroMIGwiBcWNue9hf24XlSN4vN5NB4nRuj59-d5u5cNgww49Rz98g-_P6vU-g2U3aoC7HizZ0_BWMRzsmosMWp9aKqztG5Dh_qiqs3NcF1p8npaJzZY6Oi8io1GT9Fem82H4eh56dItRy7T75mgzdvJjQIRBZyDwyktFzeVOwMHRcMnvAw10gefPb1QDa-QK-oK_XbGtO0dgiPei-kLdNZxY7SXRMgOhUIHCC15_QSjDDyOGOKHJI0l5Z7or7zz06g1edWLr9nMKrIlO2Re6KQ82Tw7pvFRTj-KJlEQZmHmD5L6UficlKktPOu6hpZJ5A
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2024-08-24T07:33:11Z. Current time: 2024-09-13T00:36:00Z, a difference of 1702969788 milliseconds.  Allowed clock skew: 0 milliseconds.
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:411)
	at io.jsonwebtoken.impl.DefaultJwtParser.parse(DefaultJwtParser.java:513)
	at io.jsonwebtoken.impl.DefaultJwtParser.parseClaimsJws(DefaultJwtParser.java:573)
	at com.crazymaker.springcloud.base.service.impl.JwtServiceImpl.parseJwtRsaToken(JwtServiceImpl.java:158)
	at com.crazymaker.springcloud.base.service.impl.JwtServiceImpl.decodeJwtRsaToken(JwtServiceImpl.java:104)
	at com.crazymaker.springcloud.test.sso.JwtRsaTest.testCheckToken(JwtRsaTest.java:143)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:50)
	at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:12)
	at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:47)
	at org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.java:17)
	at org.junit.runners.ParentRunner.runLeaf(ParentRunner.java:325)
	at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:78)
	at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:57)
	at org.junit.runners.ParentRunner$3.run(ParentRunner.java:290)
	at org.junit.runners.ParentRunner$1.schedule(ParentRunner.java:71)
	at org.junit.runners.ParentRunner.runChildren(ParentRunner.java:288)
	at org.junit.runners.ParentRunner.access$000(ParentRunner.java:58)
	at org.junit.runners.ParentRunner$2.evaluate(ParentRunner.java:268)
	at org.junit.runners.ParentRunner.run(ParentRunner.java:363)
	at org.junit.runner.JUnitCore.run(JUnitCore.java:137)
	at com.intellij.junit4.JUnit4IdeaTestRunner.startRunnerWithArgs(JUnit4IdeaTestRunner.java:69)
	at com.intellij.rt.junit.IdeaTestRunner$Repeater$1.execute(IdeaTestRunner.java:38)
	at com.intellij.rt.execution.junit.TestsRepeater.repeat(TestsRepeater.java:11)
	at com.intellij.rt.junit.IdeaTestRunner$Repeater.startRunnerWithArgs(IdeaTestRunner.java:35)
	at com.intellij.rt.junit.JUnitStarter.prepareStreamsAndStart(JUnitStarter.java:232)
	at com.intellij.rt.junit.JUnitStarter.main(JUnitStarter.java:55)

业务异常
BusinessException(errCode=-1, errMsg=token 验证异常)
	at com.crazymaker.springcloud.common.exception.BusinessException$Builder.build(BusinessException.java:61)
	at com.crazymaker.springcloud.base.service.impl.JwtServiceImpl.parseJwtRsaToken(JwtServiceImpl.java:162)
	at com.crazymaker.springcloud.base.service.impl.JwtServiceImpl.decodeJwtRsaToken(JwtServiceImpl.java:104)
	at com.crazymaker.springcloud.test.sso.JwtRsaTest.testCheckToken(JwtRsaTest.java:143)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:50)
	at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:12)
	at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:47)
	at org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.java:17)
	at org.junit.runners.ParentRunner.runLeaf(ParentRunner.java:325)
	at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:78)
	at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:57)
	at org.junit.runners.ParentRunner$3.run(ParentRunner.java:290)
	at org.junit.runners.ParentRunner$1.schedule(ParentRunner.java:71)
	at org.junit.runners.ParentRunner.runChildren(ParentRunner.java:288)
	at org.junit.runners.ParentRunner.access$000(ParentRunner.java:58)
	at org.junit.runners.ParentRunner$2.evaluate(ParentRunner.java:268)
	at org.junit.runners.ParentRunner.run(ParentRunner.java:363)
	at org.junit.runner.JUnitCore.run(JUnitCore.java:137)
	at com.intellij.junit4.JUnit4IdeaTestRunner.startRunnerWithArgs(JUnit4IdeaTestRunner.java:69)
	at com.intellij.rt.junit.IdeaTestRunner$Repeater$1.execute(IdeaTestRunner.java:38)
	at com.intellij.rt.execution.junit.TestsRepeater.repeat(TestsRepeater.java:11)
	at com.intellij.rt.junit.IdeaTestRunner$Repeater.startRunnerWithArgs(IdeaTestRunner.java:35)
	at com.intellij.rt.junit.JUnitStarter.prepareStreamsAndStart(JUnitStarter.java:232)
	at com.intellij.rt.junit.JUnitStarter.main(JUnitStarter.java:55)


Process finished with exit code -1

看问题的描述:

JWT expired at 2024-08-24T07:33:11Z. Current time: 2024-09-13T00:36:00Z, a difference of 1702969788 milliseconds.  Allowed clock skew: 0 milliseconds.

过期时间为2024-08-24T07:33:11,当前时间为2024-09-13T00:36:00,token过期了,但是我明明是获取token后马上执行的解密,那么问题应该在设置过期时间
定位相关代码:

 /**
     * session 的过期时间  单位 s
     */
    public static final int SESSION_TIME_OUT = 3600 * 24 *30;
  //签发时间. 注意:尽量比当前时间稍微提前一点,防止验证时间相隔太短,导致验证不通过
        long startTime = System.currentTimeMillis() - 6000;
        //过期时间. 在签发时间的基础上,加上一个时长
        Date end = new Date(startTime + SessionConstants.SESSION_TIME_OUT * 1000);  //设置过期

看着没啥问题,过期时间是在当前时间上加的,而且这个时间设置得挺长的。
那么问题是什么啦?
打印这个过期时间

System.out.println(SessionConstants.SESSION_TIME_OUT * 1000);

先问问chatgpt:
在这里插入图片描述
他给的回答看不出问题
最后自己执行下:

-1702967296

拿着结果再问问他
在这里插入图片描述
原来当你尝试计算2592000 * 1000时,实际的结果2592000000已经超出了int类型的最大值。因此,在Java中,这个计算会导致整数溢出,而溢出的结果是一个负数,即你看到的-1702967296。
问题解决了
总结下:
1.int的大数计算要小心整数溢出的问题
2.不要盲目信任chatgpt,有问题还是需要自己代码执行下,拿着结果再去问问题

weixin_38501809
关注
php jwt设置有效期,07-如何设置JWT过期时间
weixin_39842937的博客
03-27 5416
参考页面要想设置JWT过期时间。需要在payload中增加 exp 此字段。这个字段是JWT内部约定的。用来表示过期时间{    "iss":"http://example.org",//非必须。issuer请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。"iat":1356999524,//非必须。issuedat。token创建时间...
jwt认证 drf中使用simple-jwt以及容易出现的问题
huangshiyu123456的博客
02-02 1303
JSON Web Token (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。尽管 JWT 可以加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则向其他方*隐藏这些声明。
API接口之JWT设置token过期时间(二)
热门推荐
尼古拉斯大树的博客
10-11 6万+
目录 1.什么是Jwt 2.token是什么 3.为什么要使用token 4.如何实现token 5.JWT的简单案例 6.API接口token案例 6.1 token的创建 6.2 用户验证流程 7.测试流程 7.1 项目地址 7.2 表结构 1.什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成tok...
jwt-simple过期时间不对问题
weixin_34292959的博客
03-12 488
今天用node写后台,登录认证使用了token,然后就使用了简单的jwt-simple,但是发现设置过期时间不对,一直没有提示过期,但是明明是已经过期了的时间,于是检查了下jwt-simple的源代码。 我的路径,根目录下\node_modules\jwt-simple\lib\jwt.js jwt.decode = function jwt_decode(token, key, noVerif...
JWT - 生成token并配置过期时间
没有简介、全是狠活
11-06 1826
话说项目配置了Token, 就像是炒菜加味精。 一滴加进去,鲜味倍增, 保证安全又好吃。
redis缓存token设置jwt令牌过期时间
最新发布
2202_75352238的博客
05-30 1169
在上文中 我们已经设置了自定义登录接口自定义拦截器jwt登录校验接口模拟账号登录_jwt自定义拦截器-CSDN博客但是上文jwt过期时间是由yml文件中配置的,比较不优雅,我们今天来用redis缓存token 的方法来进行 jwt过期设置
jwt----token过期时间设置
淘淘桃的博客
07-10 2142
【代码】jwt----token过期时间设置
JWT 使用入门(二)token有效期
qq_37534947的博客
10-12 4793
生成token,设置有效时间1分钟,其中密钥设置为"itcast"注意签发时间需要小于过期时间
Nest.js 实战系列第二篇-实现注册、扫码登陆、jwt认证等
程序员成长指北
12-11 8061
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群大家好我是考拉????,这是Nest.js 实战系列第二篇,我要用最真实的场景让你学会使用...
腾讯T2大佬手把手教你!javastring保留小数点后两位
m0_57286743的博客
06-09 261
前言 面试时间将近两个小时(期间等待二面面试官来面我的时候等了半个多小时)面试官问的东西很多,还挖了好几个,一个技术点套着一个技术点的问,一定要做好万全的准备。问了一些基本层面上的技术点都答出来了,稍微问深一点我就有点懵了(实战经验还是不足)。 回来之后把这些题目做了一个分类并整理出答案(每次去面试的时候面试官问的问题面试结束后我都会做笔记)分为Spring+逻辑算法+MySQL+Java+Redis+并发编程+JVM+RabbitMQ等,接下来分享一下我的这次蚂蚁二面面经+一些我的学习笔记。 正文 先问
docker安装ubuntu出错,总结到位
imtokenmax众筹
07-26 252
正文 先问小伙伴们一个问题,登录难吗?“登录有什么难得?输入用户名和密码,后台检索出来,校验一下不就行了。”凡是这样回答的小伙伴,你明显就是产品思维,登录看似简单,用户名和密码,后台校验一下,完事了。但是,登录这个过程涵盖的知识点是非常多的,绝不是检索数据,校验一下这么简单的事。 那么登录都要哪些实现方式呢?i最传统的就要是Cookie-Session这种方式了,最早的登录方式都是这样实现的。但是随着手机端、H5端的兴起,前后端分离的模式越来越流行,基于Cookie-Session这种登录方式不是很方便,渐
SpringBoot_整合SpringSecurity(前后端分离版)
m0_67393619的博客
08-02 4134
1、登录校验流程2、SpringSecurity简单过滤器链(完整的过滤器大概是14个),前后端分离一般用jwt,前后端不分离一般采用session。
JWT过期时间
05-10 2355
LocalDateTime now = LocalDateTime.now(); LocalDateTime localDateTime = now.plusDays(-1); String sign = JWT.create().withClaim("phone", "phone123").withClaim("r", UUIDUtils.uuid()) .withIssuedAt(DateUtils.asDate(localDateTime)) .withExpire.
java jwt 如何设定过期时间
weixin_33862514的博客
11-15 1万+
用metabase时候内嵌jwt协议,java库是jjwt,一直找不到实现过期的方法,终于找到Jwt token = JwtHelper.encode("{\"resource\":{\""+resourceType+"\": "+dashboardId+"},\"params\":{},\"iat\":"+iat+",\"exp\":&q
【Python开发手册】JWT Token中添加过期时间和角色:简单易学的pyjwt
Zeeland的博客
04-23 2164
随着数据和信息的大量增长,多数用户都需要更加安全和保护自己的隐私。有很多选项可以帮助我们实现这一目的,其中JSON Web Token(JWT)是一种有效的解决方案。pyjwt是一种开源的Python库,可以生成、验证和编码JWT。在本篇博客中,我将介绍pyjwt的主要特点和功能。同时,我还将探讨JWT的概念、加密和解密过程以及JWT的优点。此外,我将分享使用pyjwt时遇到的问题以及解决方案。而pyjwt是一个十分轻量级的框架,基本上可以做到开箱即用,
Redis实现JWT(JSON Web TOKEN)自动延长TOKEN过期时间
m0_58032776的博客
02-28 2063
JWT是JSON WEB TOKEN的简写,常用于生成及校验Token。常见的使用场景为:用户携带name和秘钥访问后端服务器,应用后端在校验通过后使用JWT生成并返回一串Token,后续用户只需要携带此Token就可以访问服务器,在此不多赘述。本文目的是基于redis实现token自动更新其过期时间,在校验用户姓名和密码后使用JWT工具类生成会过期的Token,当用户携带此Token访问服务器后会自动延长其过期时间
.NetCore JWT token过期时间设置
极客神殿
09-26 1万+
设置为在一分钟内过期,以便我可以测试它在过期日期之后提交时是否拒绝。我正在生成 JWT 以用于我的 WebApi 项目。是否有我不知道的最短到期时间或我的设置错误?的默认值为 5 分钟。
JWT登录验证,创建Token,设置Token过期时间
lzm19930310的博客
11-11 1万+
JWT登录验证Token,创建Token,设置登录过期时间创建Token工具类创建自定义注解配置拦截器编写自定义拦截器 创建Token工具类 public class TokenUtil { /** * 解析Token 解析Token 传换成Clasims类 * @param token * @return */ public static Claims parseToken(String token){ try { Claims claims = Jwts.parser()
springboot jwt设置过期时间
05-17
Spring Boot 中使用 JWT 进行身份认证时,可以通过设置 JWT过期时间来控制令牌的有效期。下面是设置 JWT 过期时间的步骤: 1. 在 application.properties 或 application.yml 中配置 JWT过期时间,例如: ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值