JWT续期方案

已于 2023-06-01 11:52:08 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 编程语言学习 文章标签: 数据库 golang
于 2023-06-01 11:52:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41914013/article/details/130975380
版权

文章目录

基础知识

官方文档
解析JWT工具

背景

Token的续期方案有很多,根据前后端自由搭配,自主设计只要没有bug,都没有问题。

我采用的是JWT的过期和续期机制 + Redis锁 + Mysql数据库,前端只需要更换local storage就可以了。

在项目中不考虑性能情况下,我只想简单实现,能颁发token,能续期,能正常过期,能退出登录就可以了。这个方案是遇到了问题,后来就演变成这个方案了。我记录下。

Token续期方案

方案一

  • JWT生成token存Mysql,前端存local storage。

登录(邮箱+验证码)

- 前端:邮箱+验证码登录
- 后端:检查邮箱验证码合法性和有效性,JWT生成token,将token存入Mysql。
- 后端返回给前端一个生成的Token,前端存在本地Localstorage中,每次请求API放在Header中。

续期
在这里插入图片描述

  • 前端携带旧的Token刷新页面, 请求到达后端先做token过期校验,过期返回401,给一个自定义的code码,说明Token过期了。
  • 前端校验HttpCode 401,并且Code码为xxx,则请求refresh_token接口。
  • refresh_token接口
    • 校验这个过期token的maxRefresh(token的刷新时间),
    • 如果maxRefresh不在有效期内,返回401,自定义业务状态码xxxx, 踢出登录。
    • 如果maxRefresh在有效期内,那么就生成新的token。删除数据库中旧的Token,插入新生成的Token,返回给前端。
  • 前端拿到新颁发的Token,存在本地Localstorage中,完成本次续期。

此方案存在的问题

  1. 重放攻击问题。前端页面一般是多个后端API组合调用的。一般前端调用后台Api是异步的,每次拦截到token过期的业务状态码,都会调用续期,此时后台校验通过后会生成新token,删除旧token,插入新token这一系列操作。每次前端都会反复设置新的token。

方案二

  • JWT生成token存Mysql,使用redis做锁,前端存local storage。

续期

在这里插入图片描述

  • 在方案一的基础上做了改进,增加了redis锁,解决重复刷新token,当setNX失败会返回202状态,告诉前端不需要做任何操作。只有setNX成功之后才能续期。
  • 在续期时候检查数据中的token插入时间是不是1分钟之内插入的,如果是在1分钟之内插入的token,则直接返回数据的token。否则删除旧的token插入新生成的token。
  • 返回给前端token,前端设置local storage。

解决方案一中的问题

  • 通过redis锁限制并发刷新token,并且在1分钟内刷新的token,都返回同一个token。

小结

在使用JWT方案的过程中也是遇到了其他的问题,一一解决后,对jwt理解更清晰了。网上给到的方案也挺多的,我没有一一尝试,大家可以根据具体情况选择合适的方案使用。

lucky_kli
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
net core集成jwt
09-24
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。适用于多客户端的前后端解决方案JWT 是无状态化的,更适用于 RESTful 风格的接口验证。本文主要介绍使用JWT进行接口身份认证。
JWT handbook JWT手册
06-26
An introduction to the wonders of JSON Web Tokens and associated technologies.
SpringBoot 实现 JWT token 自动续期
weixin_43924444的博客
01-19 397
接上次说的jwt作为用户登陆验证token,这次聊一下token的自动续期实战。
如何实现JWT自动续期
qq_46030254的博客
05-24 1179
作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。3、根据规则取出cache token,判断cache token是否存在,此时主要分以下几种情况。是否是有效token,如果token无效表明是非法请求,直接抛出异常即可;2、当该用户再次请求时,通过后端的一个。1、登录成功后将用户生成的。
如何实现JWT Token的自动续期
最新发布
m0_54187478的博客
03-23 733
访问令牌通常有较短的有效期,而刷新令牌有较长的有效期。当访问令牌接近过期时,可以使用刷新令牌来获取一个新的访问令牌,而不需要用户重新登录。
JWT 网关TOKEN 加密
05-15
JWT 网关TOKEN 加解密方案,对系统无侵入
JWT 讲解与 token 过期自动续期解决方案
热门推荐
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 7695
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
JWT的Token自动续期和主动终止
desky的专栏
03-10 8806
(1)JWT的续签问题和终止问题 JWT的优势在于无状态,也就是生成的Token中本身有存储信息(payload),所以不需要依赖Redis和DB。JWT本身也有有效期参与签名,问题在于这个有效期不能更改,也很好理解如果参与签名的参数(有效期)发生变化,Token也就不一样了。如果有效期不能改变,即便时间设计的再长,也会有到期的时候,而且Token这种设计初衷也不能有效期很长,导致用户在操作过程中Token到期授权失败,这种情况根本是无法接受的。 另外,JWT的Token签发之后,理论上在到
jwt延期,刷新令牌还不够安全哦
洪晓鸿
04-06 1954
在token的使用过程中, 可以使用HTTPS来防止Token在传输过程中被窃取,将Token存储在安全的地方(如浏览器的HttpOnly Cookie中),并定期检查和更新您的加密算法和密钥来加强安全措施, 那么HTTPS为什么可以防止Token在传输过程中被窃取, Token为什么要存放在HttpOnly Cookie中。例如,使用HTTPS来防止Token在传输过程中被窃取,将Token存储在安全的地方(如浏览器的HttpOnly Cookie中),并定期检查和更新您的加密算法和密钥。
使用JWT实现的登录控制,如何给token自动续期
m0_54187478的博客
01-24 730
在使用JWT(JSON Web Tokens)进行身份验证时,自动续期通常是指在当前令牌即将过期时自动发放一个新的令牌。
详解使用JWT实现单点登录(完全跨域方案
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT 实战教程_jwt_
10-01
jwt是什么,如何在springboot中整合jwt
GolangJWT
05-26
它基本有所有基本功能,包括:GenerateToken,GenerateRefreshToken, ValidateToken, ParseToken, 应该用: // Create JWT instance jwtInstance := objects.NewJWT(secretKey, refreshKey, tokenExpire) // Generate a JWT token for user with ID 123 tokenString, err := jwtInstance.GenerateToken(userID)
nginx-lua-jwt
06-17
nginx中用于token解密的所有脚本
针对分布式或集群session同步问题,改用jwt续期解决方案.docx
10-26
针对分布式或集群session同步问题,改用jwt续期解决方案.docx
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
03-17
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
JWT学习笔记
01-21
JWT学习笔记
JWTtoken续期
08-04
Django中间件可以用来验证JWT Token。JWT Token是一种用于身份验证的令牌,它由三部分组成:头部、载荷和签名。在Django中,可以使用第三方库django-rest-framework-jwt来实现JWT Token的验证。该库提供了一个名为JWTAuthentication的中间件,可以用来验证请求头中的Authorization字段中的Token是否有效。如果Token有效,则将用户信息添加到请求对象中,以便后续的视图函数可以使用。如果Token无效,则返回401 Unauthorized响应。使用该中间件需要在Django的settings.py文件中进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值