token自刷新功能实现记录

最新推荐文章于 2024-05-19 15:23:37 发布
最新推荐文章于 2024-05-19 15:23:37 发布
阅读量4k 收藏 14
点赞数 1
分类专栏: spring boot jwt spring boot 拦截器 文章标签: jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42683522/article/details/108007157
版权

登录控制 : Token自动刷新功能,达到续期目的

spring boot 项目引入JWT 校验 : 基于JWT 使用Spring boot项目权限校验
前言:
  • 为达成公司内部需求 : APP 登录. PC端登录 可以保留用户登录状态, 用户持续使用中,应在用户无感知的情况下自动续期token.
设计流程实现:

流程1

摘要说明:
token时长例如 = 30min
refreshToken时长务必大于token时长,这里我取值  =  60min

这里当token失效时: 后台会在返回数据时给headers中放入过期提醒状态.

前端需要使用响应前置拦截,并判断headers中的参数是否需要更新token,若需要更新token则需要用refreshToken换取新的token和新的refreshToken.

在这里插入图片描述

最终达成目标流程:

在这里插入图片描述

代码实现:

  • 这里使用 spring boot 2.1.13 版本.

  • 省略前端登录,存储token,根据后端状态刷新token功能, 只实现后台拦截器.

/**
 * @author zly
 * Spring MVC 请求拦截配置
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    /**
     * 认证组件注册到IOC
     *
     * @return AuthenticationInterceptor
     */
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }

    /**
     * 过滤器放行文档文件
     *
     * @param registry 资源处理器注册对象
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
       /* 静态资源文件放行处理 */
    }

    /**
     * 统一异常处理
     *
     * @param exceptionResolvers 异常信息
     */
    @Override
    public void configureHandlerExceptionResolvers(List<HandlerExceptionResolver> exceptionResolvers) {
       /*统一异常处理 */
       /* 在这里处理当token失效所抛出的异常 , 修改其响应的httpStatus */ 
    }

    /**
     * 跨域放行
     *
     * @param registry CorsRegistry对象
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                //是否发送Cookie信息
                .allowCredentials(true)
                //放行哪些原始域(请求方式)
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                //放行哪些原始域(头部信息)
                .allowedHeaders("*");
    }


    /**
     * 添加拦截器
     *
     * @param registry 拦截器注册对象
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                //所有访问路径都要进行判断
                .addPathPatterns("/**");
    }

    /**
     * 返回响应结果
     *
     * @param response 封装响应对象
     * @param result   返回结果
     */
    private void responseResult(HttpServletResponse response, Result result, HttpStatus status) {
        /* 统一响应的封装 */
    }


}

/**
 * 拦截器规则实例
 *
 * @Author: zly
 * @Date: 2020/3/27 15:23
 */
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Resource
    private UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
        // 如果不是映射到方法直接通过,防止静态资源被拦截
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        //检查是否有CheckLogin注释,有则跳过认证    ** 自定义注解
        if (method.isAnnotationPresent(CheckLogin.class)) {
            CheckLogin checkLogin = method.getAnnotation(CheckLogin.class);
            if (checkLogin.required()) {
                return true;
            }
        }
        //检查有没有需要用户权限的注解    ** 自定义注解
        if (method.isAnnotationPresent(CheckToken.class)) {
            // 从 http 请求头中取出 token
            String token = httpServletRequest.getHeader("token");
            CheckToken checkToken = method.getAnnotation(CheckToken.class);
            if (checkToken.required()) {
                // 执行认证
                if (StringUtils.isBlank(token)) {
                    throw new AuthException("签名校验失败,请重新登录");
                }
                User user = JwtUtil.decode(token, User.class);
                if (null == user) {
                    //取出刷新token
                    String refreshToken = httpServletRequest.getHeader("refreshToken");
                    if (StringUtils.isBlank(refreshToken)) {
                        throw new AuthException("签名已过期,请重新登录");
                    }
                    User refreshUser = JwtUtil.decode(refreshToken, User.class);
                    if (null == refreshUser) {
                        throw new AuthException("签名已过期,请重新登录");
                    }
                    /* 如果是获取刷新token的URI则跳过 */
                    if (!httpServletRequest.getRequestURI().contains(REFRESH_TOKEN)) {
                        httpServletResponse.setHeader("status", AUTHORIZATION_EXPIRES);
                    }
                    user = refreshUser;
                }
                User currUser = userService.findById(user.getId());
                if (currUser == null) {
                    throw new AuthException("不合法的签名,请重新登录");
                }
                if (!user.getPassword().equals(currUser.getPassword())) {
                    throw new AuthException("密码已修改,请重新登录!");
                }
                //  权限判定
                RequiredPermission requiredPermission = handlerMethod.getMethod().getAnnotation(RequiredPermission.class);
                // 如果方法上的注解为空 则获取类的注解
                if (requiredPermission == null) {
                    requiredPermission = handlerMethod.getMethod().getDeclaringClass().getAnnotation(RequiredPermission.class);
                }
                // 如果标记了注解,则判断权限  ** 自定义权限注解
                if (requiredPermission != null && StringUtils.isNotBlank(requiredPermission.value())) {
                    // redis或数据库 中获取该用户的权限信息 并判断是否有权限
                    Set<String> permissionSet = userService.getPermissionSet(user.getId());
                    if (CollectionUtils.isEmpty(permissionSet) || !permissionSet.contains(requiredPermission.value())) {
                        throw new ServiceException("权限不足!");
                    }
                }
            }
        }
        return true;
    }
}
总结
掌握spring boot => 实现WebMvcConfigurer的接口来达成路径的拦截与对跨域的处理, 包括对在请求拦截中添加的操作: 一般鉴定权限的方法可以嵌入其中.
掌握spring boot => 统一异常处理, 返回数据的结构统一化, 减少业务代码中重复出现的try-catch,造成的代码冗余.
掌握对于使用JWT TOKEN的进行登录认证基础使用.

以上就是token自刷新的核心推导思路和核心实现代码. 若有不足,烦请指出…

sunny-life
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring cloud启动、token
洪君的博客
03-16 1157
项目启动顺序 eureka 注册中心 config 配置中心 auth 验证中心 gateway 服务网关 upms-service 权限管理 ................
spring-security-oauth2自定义token返回格式
u013008898的博客
06-26 1341
AuthController:
详解Spring Security的formLogin登录认证模式
08-25
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的formLogin模式登录认证模式,感兴趣的朋友跟随小编一起看看吧
GO Web-使用refresh Token 刷新access Token 模式
最新发布
Gaorui678的博客
05-19 593
3. 检测Access Token过期:当客户端收到Access Token过期的响应时(通常是HTTP 401 Unauthorized错误),而不是立即让用户重新登录,客户端将使用Refresh Token来请求新的Access Token。如果Refresh Token有效且未过期,认证服务器验证其有效性,并返回一个新的Access Token(可能还有新的Refresh Token,取决于实现)。特点:有效期较长,通常比Access Token长很多,有时甚至是永久有效的,直到用户注销或被撤销。
自定义的方式,使用oauth2生成token+token续命
m0_56356631的博客
05-14 5573
使用oauth2生成 token 的流程+续命
No1.搭建基本的密码模式请求token(授权服务端)
键上艺术家
09-24 2464
首先,暂时不搭建cloud相关的环境,暂时不会使用到数据库和redis等库,用户信息、客户端信息、授权信息等都存储在内存中,只编写跟密码模式相关的代码(此处的密码模式是按照自定义代码编写)仅作为最基础的授权认证服务端。
自定义Spring Cloud OAuth2中/oauth/token的返回内容格式
分享技术,传播知识!
07-13 3470
自定义Spring Cloud OAuth2中/oauth/token的返回内容格式背景实现原理代码实现相关类关键切面拦截器 背景 在前后端分离的项目中,一般后端返回给前端的格式是一个固定的json格式。在这个前提下,Spring Cloud OAuth2 生成access token的请求/oauth/token的返回内容就需要自定义。 访问/oauth/token示例如下: 原始返回值的格式如下: 我们希望使用我们自己固定的json格式,如下: 实现原理 原理就是通过切面编程实现对/oauth/t
Spring Boot项目之用户登陆-利用用户令牌Token的方式实现
10-18
本文将深入探讨如何在Spring Boot应用中利用令牌Token实现用户登录功能。 首先,理解Token的基本概念。Token是一种安全机制,用于在客户端和服务端之间传递认证信息。它是一个字符串,包含了用户的标识信息,比如...
struts token 防止页面刷新,重复提交
11-20
通过自定义的Token类和方法,我们可以在不依赖Struts内置机制的情况下实现防止表单重复提交的功能。这种方式不仅灵活,而且易于理解和维护。开发者可以根据实际需求调整Token生成、存储和验证的方式,以适应不同的...
app令牌的一个token实现
06-19
这里的"app令牌的一个token实现"主要是通过自定义一个Token类和管理类来完成的。让我们详细了解一下这个实现。 首先,`Token.java`类是令牌的核心,它实现了Java的`Serializable`接口,确保对象能够在网络间传输...
access_token验证过期类
11-29
- 可能还有错误处理和日志记录功能,以便追踪和解决令牌相关的问题。 理解并正确处理`access_token`对于构建安全、高效且用户友好的Web应用至关重要。开发者需要确保在设计和实现`access_token`验证过期类时遵循...
asp+JS无刷新记录投票+点赞系统【原版+简化修正版】
10-11
3. 数据交互:为了实现刷新功能,服务器返回的响应通常包含新的投票或点赞状态,JavaScript将这些数据插入到DOM(Document Object Model)中,从而更新页面显示。如果需要显示实时排名或统计,可以使用定时器定期...
security登录详解及token校验
weixin_42293526的博客
08-16 679
token
SpringSecurity OAuth2 获取Token端点TokenEndpointToken授权TokenGranter接口 详解
热门推荐
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
一个接口优雅的实现 Spring Cloud OAuth2 自定义token返回格式
java_beautiful的博客
06-22 1660
今天这篇文章就来回答其中一个问题:如何自定义token的返回格式?
Spring Security --- formLogin配置
汤键的博客
04-19 1581
Spring Security --- formLogin配置
Spring Security Form Login
白石的专栏
12-05 589
本教程将重点介绍**使用 Spring Security 登录**。我们将在[前面的 Spring MVC 示例](https://www.baeldung.com/spring-mvc-tutorial)之上构建,因为这是设置 Web 应用程序以及登录机制的必要部分。
扩展SpringSecurity OAuth Server以支持多种登录方式,如短信、社交媒体或第三方token
nullpointer2008的专栏
12-02 1106
类似的介绍有不少,这里总结一下,作为备忘,也从不同的角度进行描述一下,以共用得着的同学参考。 框架原有登录、token生成过程 client(app,网页等)发出post 请求,到auth server 的/oauth/token 端点,对应org.springframework.security.oauth2.provider.endpoint.TokenEndpoint类中的postAccessToken()方法; 被ClientCredentialTokenEndpointFilter拦截处理.
Spring Security OAuth2.0 token生成与刷新机制源码阅读
Mr1ght的博客
07-09 2598
一.介绍 Spring Security Oauth2是目前市面上非常流行的实现了OAuth2.0协议的权限框架。本文会介绍其是如何获取token以及刷新token的。 二.AbstractEndPoint Spring Security OAuth2的获取token、校验token等接口均配置在EndPoint中的 AuthorizationEndpoint主要是第三方授权模式中的 获取code的流程接口 http://localhost:xxxx/auth/oauth/authorize Toke
SpringSecurity Jwt Token 自动刷新有效期
06-02
Spring Security JWT Token 可以通过在 Token 中设置一个过期时间来实现自动刷新有效期。当 Token 过期前一段时间内,可以通过发送一个请求来触发 Token刷新,使其延长有效期。 具体实现可以通过在 Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值