本文介绍了在前后端分离的场景下,如何实现在用户无感知的情况下JWT Token的自动续期,避免频繁登录和表单数据丢失。核心原理是前端请求时校验缓存中的token,若过期则重新生成并更新缓存。通过登录成功后存储token到缓存,设置缓存有效期为token有效期的两倍,然后在过滤器中校验token并自动续期。
前言
在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。
后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。
因为jwt token中一般会包含用户的基础信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。
但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。
如果真发生了这种情况前端用户肯定是要骂人的,用户体验非常不友好。本篇内容就是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。
实现原理
jwt token自动续期的实现原理如下:
登录成功后将用户生成的 jwt token 作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。
当该用户再次请求时,通过后端的一个 jwt Filter 校验前端token是否是有效token,如果token无效表明是非法请求,直接抛出异常即可;
根据规则取出cache token,判断cache token是否存在,此时主要分以下几种情况:
cache token 不存在
这种情况表明该用户账户空闲超时,返回用户信息已失效,请重新登录。
cache token 存在,则需要使用jwt工具类验证该cache token 是否过期超时,不过期无需处理。
过期则表示该用户一直在操作只是token失效了,后端程序会给token对应的key映射的value值重新生成jwt token并覆盖value值,该缓存生命周期重新计算。
实现逻辑的核心原理:
前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。
代码实现(伪码)
登录成功后给用户签发token,并设置token的有效期
...
SysUs
最低0.47元/天 解锁文章
2375
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
