jwt的续期功能

最新推荐文章于 2024-01-24 10:27:47 发布
最新推荐文章于 2024-01-24 10:27:47 发布
阅读量1.6k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39522272/article/details/105551650
版权

JWT的TOKEN续期功能
2019-02-13阅读 3.1K0
JWT里有一个关键的东东,就是续期TOKEN,即TOKEN快过期时,刷新一个新的TOKEN给客户端.
办法如下:
1.后端生成TOKEN

import com.starmark.core.shiro.model.SecurityUser;
import com.starmark.core.shiro.model.UserLoginToken;
import com.starmark.core.shiro.util.JWTUtil;
import org.apache.commons.lang3.BooleanUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.time.LocalDateTime;
import java.time.ZoneId;
import java.util.Date;
import java.util.Objects;

public class JwtAuthFilter extends AuthenticatingFilter {
private final Logger log = LoggerFactory.getLogger(JwtAuthFilter.class);
//10分钟后刷新token
private static final int tokenRefreshInterval = 60 * 10;

@Override
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
    HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
    if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) //对于OPTION请求做拦截,不做token校验
        return false;

    return super.preHandle(request, response);
}

@Override
protected void postHandle(ServletRequest request, ServletResponse response) {
    request.setAttribute("jwtShiroFilter.FILTERED", true);
}

@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    if (this.isLoginRequest(request, response)) {
        return true;
    }
    Boolean afterFiltered = (Boolean) (request.getAttribute("jwtShiroFilter.FILTERED"));
    if (BooleanUtils.isTrue(afterFiltered))
        return true;

    boolean allowed = false;
    try {
        allowed = executeLogin(request, response);
    } catch (IllegalStateException e) { //not found any token
        log.error("Not found any token");
    } catch (Exception e) {
        log.error("Error occurs when login", e);
    }
    return allowed || super.isPermissive(mappedValue);
}

@Override
protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) {
    String jwtToken = getAuthzHeader(servletRequest);
    if (StringUtils.isNotBlank(jwtToken) && !JWTUtil.isTokenExpired(jwtToken))
        return UserLoginToken.buildPassword(jwtToken, null, "jwt");

    return null;
}

@Override
protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
    HttpServletResponse httpResponse = WebUtils.toHttp(servletResponse);
    httpResponse.sendRedirect("/unauth");


    return false;
}

@Override
protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) {
    HttpServletResponse httpResponse = WebUtils.toHttp(response);

    if (token instanceof UserLoginToken && "jwt".equalsIgnoreCase(((UserLoginToken) token).getLoginType())) {
        UserLoginToken jwtToken = (UserLoginToken) token;
        boolean shouldRefresh = shouldTokenRefresh(Objects.requireNonNull(JWTUtil.getIssuedAt(jwtToken.getUsername())));
        if (shouldRefresh) {
            //生成新的TOKEN
            SecurityUser user = (SecurityUser) subject.getPrincipal();
            String newToken = JWTUtil.sign(user.getUserInfo().getId());
            httpResponse.setHeader("x-auth-token", newToken);
        }
    }


    return true;
}

@Override
protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
    log.error("Validate token fail, token:{}, error:{}", token.toString(), e.getMessage());
    return false;
}

/**
 * 获取TOKEN
 * @param request 请求
 * @return token
 */
private String getAuthzHeader(ServletRequest request) {
    HttpServletRequest httpRequest = WebUtils.toHttp(request);
    String header = httpRequest.getHeader("x-auth-token");
    return StringUtils.removeStart(header, "Bearer ");
}

/**
 * 判断是否需要刷新TOKEN
 * @param issueAt token签发日期
 * @return 是否需要刷新TOKEN
 */
private boolean shouldTokenRefresh(Date issueAt) {
    LocalDateTime issueTime = LocalDateTime.ofInstant(issueAt.toInstant(), ZoneId.systemDefault());
    return LocalDateTime.now().minusSeconds(tokenRefreshInterval).isAfter(issueTime);
}

}
原签发TOKEN后10分钟后刷新新的TOKEN

2.前端获取TOKEN

// 拦截响应response,并做一些错误处理
axios.interceptors.response.use((response) => {
if(response.status ===200 && response.data && response.data.code === 401) {
//console.log(window.location.origin);

    window.location.href=window.location.origin+window.location.pathname+'#/login';
}

//获取返回的TOKEN
const token=response.headers['x-auth-token'];

if(token) {
    //将续期的TOKEN存起来
    localStorage.setItem("token",token) ;
}
// 这里是填写处理信息
return response;

}, (err) => { // 这里是返回状态码不为200时候的错误处理
console.log(err);
if(err && err.response) {
switch(err.response.data.code) {
case 400:
err.message = ‘请求错误’;
break;

        case 401:
            err.message = '未授权,请登录';
            break;

        case 403:
            err.message = '无权限';
            break;

        case 404:
            err.message = `请求地址出错: ${err.response.config.url}`;
            break;

        case 408:
            err.message = '请求超时';
            break;

        case 500:
            err.message = '服务器内部错误';
            break;

        case 501:
            err.message = '服务未实现';
            break;

        case 502:
            err.message = '网关错误';
            break;

        case 503:
            err.message = '服务不可用';
            break;

        case 504:
            err.message = '网关超时';
            break;

        case 505:
            err.message = 'HTTP版本不受支持';
            break;

        default:
    }
}
Vue.prototype.$message.error(err.response.data.msg!=null?err.response.data.msg:err.message);
return Promise.reject(err)

});
注意一点,需要通过过滤器调整FITLER,增加Access-Control-Expose-Headers的输出,否则无法获取response中的header.

至此,JWT的TOKEN续期功能完成.

weixin_39522272
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
SpringSecurity集成JWT
最新发布
05-15
JWT(Json Web Token)是一种轻量级的身份验证机制,广泛应用于API的安全授权。本篇文章将详细探讨如何将SpringSecurity与JWT相结合,实现高效且安全的身份验证。 首先,让我们了解一下SpringSecurity的基本配置...
JWT 讲解与 token 过期自动续期解决方案
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JWT的Token自动续期和主动终止
desky的专栏
03-10 9310
(1)JWT的续签问题和终止问题 JWT的优势在于无状态,也就是生成的Token中本身有存储信息(payload),所以不需要依赖Redis和DB。JWT本身也有有效期参与签名,问题在于这个有效期不能更改,也很好理解如果参与签名的参数(有效期)发生变化,Token也就不一样了。如果有效期不能改变,即便时间设计的再长,也会有到期的时候,而且Token这种设计初衷也不能有效期很长,导致用户在操作过程中Token到期授权失败,这种情况根本是无法接受的。 另外,JWT的Token签发之后,理论上在到
JWT token 过期续签的问题想法
STR少寒的博客
12-09 1584
JWT token 过期续签的问题想法 服务端保存签发的token,进行失效判断,使用Redis保存 如果服务端,不保存token 客户端解析 token中 payload的数据,添加失效时间,再失效时间之前再次进行签到 客户端 保存两个 token:access_token、refresh_token refresh_token 的有效期比 access_token 长,成倍数2倍,当access_token 失效后,使用refresh_token去重新进行续签 如果refresh_tok
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
Java精选
10-16 558
技术选型区别认证流程优缺点安全性性能一次性无法废弃续签选择JWT或session功能实现Redis工具类业务实现过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读用户管理模块:https://juejin.cn/post/6916150628955717646今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是...
使用JWT实现的登录控制,如何给token自动续期
m0_54187478的博客
01-24 1100
在使用JWT(JSON Web Tokens)进行身份验证时,自动续期通常是指在当前令牌即将过期时自动发放一个新的令牌。
koa+jwt实现token验证与刷新功能
01-01
JWT JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不...
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
jwthelper:JWT令牌生成器
02-24
以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 安装 您可以克隆此存储库并手动构建它。 cd jwthelper docker build -t fonoster/jwthelper:%%VERSION%% . 否则...
JWT的token过期自动续期(无redis)
qq_1641486826的博客
01-19 8320
思路: 由于jwt中的token过期时间是打包在token中的,用户登录以后发送给客户端以后token不能变化,那么要在用户无感知的情况下刷新token,就要在符合过期条件的情况下,在缓存一个新的token,作为续命token,再次解析不要解析客户端发送的token,要解析自己缓存的续命token 主要逻辑: 如果当前token没有超过过期时间的两倍,续期,超过了重新登录 主要代码如下: package com.hongseng.app.config.jwtfilter; import enums.Tok
Springboot+Axios双token解决token过期续签问题
huang714的专栏
11-10 3137
Springboot+Axios双token解决token过期续签问题
JWT续期与登出思考
生如夏花的博客
07-05 1万+
这两天看了很多相关的知识,梳理一下,记录一些思考。1.token与jwt的区别    (1)简单的说,token只是一个标识,以token加redis为例,服务端将token保存在redis中,客服端访问时带上token,如果在redis中能够查到这个token,说明身份有效。    (2)jwt不需要查库,本身已经包含了用户的相关信息,可以直接通过服务端解析出相关的信息,与session,tok...
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1464
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
SpringBoot集成shiro+jwt+swagger2,实现token令牌自动续期
qq_41319712的博客
12-03 2365
1.新建一个springboot项目 2.引入相关maven依赖 <!--mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope>
JWT生成token及过期处理方案
weixin_34111819的博客
08-01 5872
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro整合JWT:解决jwt注销和续签的问题
你今天真好看呀
08-01 3512
文章目录Shiro管理用户认证时jwt续签和注销的问题1. 场景一:token的注销问题(黑名单)2. 场景二:token的续签问题3. 项目中的实现3.1 封装JWT工具类3.2 配置Shiro的自定义认证类3.3 登录和退出登录(token注销)3.3.1 登录接口3.3.2 退出登录3.3.3 在shiro的自定义认证类中添加认证规则3.4 修改密码(token注销)3.5 token续签问题(token续签)3.6 用户的角色发生了变化(token注销)3.6.1 更新角色3.6.2 删除角色3.6
JWTToken超时刷新策略
热门推荐
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwt的token自己没有超时刷新机制,所以这里简单贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户的JWT生成的Token作为k、v存储到cache缓存里面(这时候k、v值一样) * 2、当该用...
JWTtoken续期
08-04
Django中间件可以用来验证JWT Token。JWT Token是一种用于身份验证的令牌,它由三部分组成:头部、载荷和签名。在Django中,可以使用第三方库django-rest-framework-jwt来实现JWT Token的验证。该库提供了一个名为...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值