JWT双令牌(双token)实现登录验证

已于 2022-09-23 17:52:40 修改
阅读量5.7k 收藏 34
点赞数 6
文章标签: java servlet mybatis
于 2022-09-23 17:44:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43973161/article/details/127012976
版权

目录

一、引入依赖

二、在service层下创建utils工具类包

三、颁发令牌

1. UserController类的login方法

2. UserService类中的login方法(刷新令牌)

3. UserService类中的loginForDts方法(双令牌)

4. 刷新accessToken

5. 删除refreshToken

6. 登录进行业务需验证短期令牌

四、总结

双令牌(Token)的原因:

如果用户在退出登录之后,token仍然处在有效期之内的话,那么用户仍然可以使用这个token去访问系统的资源,那这样的话,显然它不是一个正确的操作。所以退出登录的时候必须清除token。

用户退出登录之后,按理说他就不应该再访问到系统的任何跟用户相关的这种资源了。所以说为了防止这种情况呢,我们引入一个双token的机制,同时这种机制还可以用于对用户进行一个无感的这种有效时间的刷新,什么意思呢?比如说咱们这种单token的情况。可接入的,那么这个token呢它是一个有效期的一般会设置在一到两个小时,或者2~3个小时之内。那么当这个token快要过期的时候,如果没有我们所说的这个刷新token的话,那么这时候系统呢会直接提示用户,您已经您的投票已经过期,请重新登录。那这样的话,其实对用户造成一个不是很好的用户体验,那可能我正在看视频,或者说正在刷一些这种最新的资讯。系统突然跟我说,哎呀,你已经退出登录了,请重新登录,这样的话是不是会让我们很反感?

所以说为了应对这种情况呢,我们引入了这个refresh token,那么这个工作的原理是什么呢?其实也非常简单,就是在我们用户登录成功之后啊,我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入token有效时长一般是两到三个小时,但是这个刷新token可以一般是七天,也就是一周或者说是两周左右。这样一个有效的时长,那么只要我们的这个refresh token,也就是刷新token。它一直有效,那么我就可以在这个时间段之内用refresh token对我们用户的access token进行一个刷新,也就是延长我们这个token的有效期。虽然用户退出的时候短期token不一定被清除,但是相对于频繁弹出token过期的消息,无感延长短期token的做法是更好的。

一、引入依赖

        <!--JWT-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.19.0</version>
        </dependency>

二、在service层下创建utils工具类包

1. 创建MD5Util类

import org.apache.commons.codec.digest.DigestUtils;

import java.io.UnsupportedEncodingException;

/**
 * MD5加密
 * 单向加密算法
 * 特点:加密速度快,不需要秘钥,但是安全性不高,需要搭配随机盐值使用
 *
 */
public class MD5Util {

	// 加密
	public static String sign(String content, String salt, String charset) {
		content = content + salt;
		return DigestUtils.md5Hex(getContentBytes(content, charset));
	}

	public static boolean verify(String content, String sign, String salt, String charset) {
		content = content + salt;
		String mysign = DigestUtils.md5Hex(getContentBytes(content, charset));
		return mysign.equals(sign);
	}

	private static byte[] getContentBytes(String content, String charset) {
		if (!"".equals(charset)) {
			try {
				return content.getBytes(charset);
			} catch (UnsupportedEncodingException var3) {
				throw new RuntimeException("MD5签名过程中出现错误,指定的编码集错误");
			}
		} else {
			return content.getBytes();
		}
	}
}

2.创建RSAUtil类

import org.apache.commons.codec.binary.Base64;

import javax.crypto.Cipher;
import java.nio.charset.StandardCharsets;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;

/**
 * RSA加密
 * 非对称加密,有公钥和私钥之分,公钥用于数据加密,私钥用于数据解密。加密结果可逆
 * 公钥一般提供给外部进行使用,私钥需要放置在服务器端保证安全性。
 * 特点:加密安全性很高,但是加密速度较慢
 *
 */
public class RSAUtil {

	private static final String PUBLIC_KEY = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQk33iNdA8Iey7J6XrBsidqn6u8EDLWPHsfEUgLQ3qiTikhPKDTzZkpAfU/O0x6NvSKa7Dp0+uqWT3vnW1De0+3u8mCYdVfOdH94VG4xg5U5UrRJei8HhPiXuvKQ+6NBtebCCW5adZ4pBgOiU14cJLhVmm+dYiLo3IDD5LqrlomQIDAQAB";

	private static final String PRIVATE_KEY = "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";

	public static void main(String[] args) throws Exception{
		String str = RSAUtil.encrypt("123456");
		System.out.println(str);
	}

	public static String getPublicKeyStr(){
		return PUBLIC_KEY;
	}

	public static RSAPublicKey getPublicKey() throws Exception {
		byte[] decoded = Base64.decodeBase64(PUBLIC_KEY);
		return (RSAPublicKey) KeyFactory.getInstance("RSA")
				.generatePublic(new X509EncodedKeySpec(decoded));
	}

	public static RSAPrivateKey getPrivateKey() throws Exception {
		byte[] decoded = Base64.decodeBase64(PRIVATE_KEY);
		return (RSAPrivateKey) KeyFactory.getInstance("RSA")
				.generatePrivate(new PKCS8EncodedKeySpec(decoded));
	}

	// 生成公钥和私钥
	public static RSAKey generateKeyPair() throws NoSuchAlgorithmException {
		KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA");
		keyPairGen.initialize(1024, new SecureRandom());
		KeyPair keyPair = keyPairGen.generateKeyPair();
		RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
		RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
		String publicKeyString = new String(Base64.encodeBase64(publicKey.getEncoded()));
		String privateKeyString = new String(Base64.encodeBase64(privateKey.getEncoded()));
		return new RSAKey(privateKey, privateKeyString, publicKey, publicKeyString);
	}

	public static String encrypt(String source) throws Exception {
		byte[] decoded = Base64.decodeBase64(PUBLIC_KEY);
		RSAPublicKey rsaPublicKey = (RSAPublicKey) KeyFactory.getInstance("RSA")
				.generatePublic(new X509EncodedKeySpec(decoded));
		Cipher cipher = Cipher.getInstance("RSA");
		cipher.init(1, rsaPublicKey);
		return Base64.encodeBase64String(cipher.doFinal(source.getBytes(StandardCharsets.UTF_8)));
	}

	public static Cipher getCipher() throws Exception {
		byte[] decoded = Base64.decodeBase64(PRIVATE_KEY);
		RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) KeyFactory.getInstance("RSA")
				.generatePrivate(new PKCS8EncodedKeySpec(decoded));
		Cipher cipher = Cipher.getInstance("RSA");
		cipher.init(2, rsaPrivateKey);
		return cipher;
	}

	public static String decrypt(String text) throws Exception {
		Cipher cipher = getCipher();
		byte[] inputByte = Base64.decodeBase64(text.getBytes(StandardCharsets.UTF_8));
		return new String(cipher.doFinal(inputByte));
	}
	
	public static class RSAKey {
		  private RSAPrivateKey privateKey;
		  private String privateKeyString;
		  private RSAPublicKey publicKey;
		  public String publicKeyString;

		  public RSAKey(RSAPrivateKey privateKey, String privateKeyString, RSAPublicKey publicKey, String publicKeyString) {
		    this.privateKey = privateKey;
		    this.privateKeyString = privateKeyString;
		    this.publicKey = publicKey;
		    this.publicKeyString = publicKeyString;
		  }

		  public RSAPrivateKey getPrivateKey() {
		    return this.privateKey;
		  }

		  public void setPrivateKey(RSAPrivateKey privateKey) {
		    this.privateKey = privateKey;
		  }

		  public String getPrivateKeyString() {
		    return this.privateKeyString;
		  }

		  public void setPrivateKeyString(String privateKeyString) {
		    this.privateKeyString = privateKeyString;
		  }

		  public RSAPublicKey getPublicKey() {
		    return this.publicKey;
		  }

		  public void setPublicKey(RSAPublicKey publicKey) {
		    this.publicKey = publicKey;
		  }

		  public String getPublicKeyString() {
		    return this.publicKeyString;
		  }

		  public void setPublicKeyString(String publicKeyString) {
		    this.publicKeyString = publicKeyString;
		  }
		}
}

3.创建TokenUtil类

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.yygs.bilibili.domain.constant.CodeConstant;
import com.yygs.bilibili.domain.constant.TokenConstant;
import com.yygs.bilibili.exception.ConditionException;

import java.util.Calendar;
import java.util.Date;

public class TokenUtil {

    public static String generateToken(Long userId) throws Exception {
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());

        //第二个参数为自定义的常量Constant,token过期时间,为60*60=1小时
        calendar.add(Calendar.SECOND, TokenConstant.EXPIRE_TIME_60_60); 

        // 生成含userId的token,以后登录都只通过Header携带的token解析出userId进行业务
        return JWT.create().withKeyId(String.valueOf(userId))
                .withIssuer(TokenConstant.ISSUER)
                .withExpiresAt(calendar.getTime())
                .sign(algorithm);
    }

    public static Long verifyToken(String token) {
        Algorithm algorithm = null;
        try {
            algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            String userId = jwt.getKeyId();
            return Long.valueOf(userId);
        } catch (TokenExpiredException e) {
            throw new ConditionException(CodeConstant.TOKEN_OVERDUE,"token已过期!");
        } catch (Exception e) {
            throw new ConditionException("非法用户token!");
        }
    }

    public static String generateRefreshToken(Long userId) throws Exception {
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey());
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());

        // refreshToken的过期时间持续比较长,为60*60*24*7=7天
        calendar.add(Calendar.SECOND, TokenConstant.EXPIRE_TIME_60_60_24_7);
        return JWT.create().withKeyId(String.valueOf(userId))
                .withIssuer(TokenConstant.ISSUER)
                .withExpiresAt(calendar.getTime())
                .sign(algorithm);
    }
}

三、颁发令牌

1. UserController类的login方法

在login中,登陆成功则给用户发单个token

    @PostMapping("/user-tokens")
    public JsonResponse<String> login(@RequestBody User user) throws Exception {
        String token = userService.login(user);
        return new JsonResponse<>(token);
    }

2. UserService类中的login方法(刷新令牌)

//  加密算法的盐值,新增用户的时候和解析密码的时候用到
String salt = String.valueOf(now.getTime());
    public String login(User user) throws Exception {
        
        ..
        登录需要的条件判断
        ..

        String password = user.getPassword();
        String rawPassword;
        try {
            rawPassword =  RSAUtil.decrypt(password);
        } catch (Exception e) {
            throw new ConditionException("密码解析失败!");
        }
        String salt = dbUser.getSalt();
        String md5Password = MD5Util.sign(rawPassword, salt, "UTF-8");
        if (!md5Password.equals(dbUser.getPassword())) {
            throw new ConditionException("密码错误!");
        }
        
        //验证通过所有条件,则颁发携带userId的token给前端
        String Token = TokenUtil.generateToken(dbUser.getId());    
        return accessToken;
    }

3. UserService类中的loginForDts方法(双令牌)

用这个方法生成时间一长一短的两个令牌返回给前端,同时将长时间的token存到数据库中。短的令牌accessToken过期的时候,前端可以再次通过长时间的令牌refreshToken访问后端来刷新短时间的令牌。

    public Map<String, Object> loginForDts(User user) throws Exception {
        
        ..
        登录的条件验证
        ..

        String password = user.getPassword();
        String rawPassword;
        try {
            rawPassword =  RSAUtil.decrypt(password);
        } catch (Exception e) {
            throw new ConditionException("密码解析失败!");
        }
        String salt = dbUser.getSalt();
        String md5Password = MD5Util.sign(rawPassword, salt, "UTF-8");
        if (!md5Password.equals(dbUser.getPassword())) {
            throw new ConditionException("密码错误!");
        }
        Long userId = dbUser.getId();

        // 生成双Token,access和refresh
        String accessToken = TokenUtil.generateToken(userId);
        String refreshToken = TokenUtil.generateRefreshToken(userId);

        // 保存refresh token到数据库
        userDao.deleteRefreshToken(refreshToken, userId);
        userDao.addRefreshToken(refreshToken, userId, new Date());
        Map<String, Object> result =new HashMap<>();
        
        //  将双token返回给前端
        result.put("accessToken", accessToken);
        result.put("refreshToken", refreshToken);
        return result;
    }

4. 刷新accessToken

当短时间的token过期,前端需要通过长时间的token来访问后端,并且生成一个短时间的token返回给前端,也就是刷新短时间的token。

在UserController类创建刷新token的方法

    @PostMapping("/access-tokens")
    public JsonResponse<String> refreshAccessToken(HttpServletRequest request) throws Exception {
        String refreshToken = request.getHeader("refreshToken");
        String accessToken = userService.refreshAccessToken(refreshToken);
        return new JsonResponse<>(accessToken);
    }

UserService类中实现刷新方法

同时也可以在刷新短期令牌的时候对refreshToken进行一个刷新,此时需要给前台发短期令牌的同时也发一个长期令牌,而且此时也必须要对数据库的长期令牌进行更新!!!

    public String refreshAccessToken(String refreshToken) throws Exception {
        
        //  从数据库中查询refreshToken
        RefreshTokenDetail refreshTokenDetail = userDao.getRefreshAccessToken(refreshToken);
        if (refreshTokenDetail == null) {
            throw new ConditionException(CodeConstant.TOKEN_OVERDUE,"token已过期!");
        }
        
        // 没过期则生成一个新的token返回给前端
        Long userId = refreshTokenDetail.getUserId();
        String accessToken = TokenUtil.generateToken(userId);

        /**
        *同时也可以在刷新短期令牌的时候对refreshToken进行一个刷新
        *此时需要给前台发短期令牌的同时也发一个长期令牌
        *而且此时必须要对数据库的长期令牌进行更新!!!
        */        

        return accessToken;
    }

5. 删除refreshToken

当用户退出的时候我们需要删除数据库中的refreshToken。

UserController类中的logout方法

    @DeleteMapping("/refresh-tokens")
    public JsonResponse<String> logout(HttpServletRequest request) {
        String refreshToken = request.getHeader("refreshToken");
        Long userId = userSupport.getCurrentUserId();
        userService.logout(refreshToken, userId);
        return JsonResponse.success();
    }

UserService类实现删除数据库中的refreshToken操作

    public void logout(String refreshToken, Long userId) {
        userDao.deleteRefreshToken(refreshToken, userId);
    }

6. 登录进行业务需验证短期令牌

除了刷新短期令牌需要用到refreshToken之外,其他的业务访问都先需要通过下面的UserSupport的getCurrentUserId()方法来通过短期令牌来获取userId,再进行业务操作。

import com.yygs.bilibili.exception.ConditionException;
import com.yygs.bilibili.service.utils.TokenUtil;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

@Component
public class UserSupport {

    public Long getCurrentUserId() {
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        String token = requestAttributes.getRequest().getHeader("accessToken");
        Long userId = TokenUtil.verifyToken(token);
        if (userId < 0) {
            throw new ConditionException("非法用户!");
        }
        return userId;
    }
}

四、总结

以上的双令牌验证也有跟网上的有些许差别,有的是所有的访问都同时携带双令牌,如果是短期令牌过期,又再去验证长期令牌,那么短期令牌就没有存在的意义。

也有些是说,每次刷新的时候,长期令牌也刷新,这种看个人的应用场景,这种场景只需要在刷新短期令牌的时候对给前端也返回一个新生成的长期令牌,而且必须更新数据库中的令牌!

再说回来以上的个人理解的双令牌可能存在一些小问题,如果是颁发长短期双令牌,而到了短期令牌过期的时候,前端需要重新去后端刷新短期令牌,而这个时候用户刚好进行业务操作需要访问后端,如果此时后端还没颁发短期令牌给前端,那么用户的这次访问就没有携带短期令牌,前端就会弹出token已过期!的消息,如果用户基数大的话,那么出现这种情况的概率也会变大,那么双令牌的作用也就消失了,用户体验也会有可能变差,但是这也远比单令牌的场景体验要好的多。

yygs!
关注
  • 6
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
token校验机制
marko_zheng的博客
11-15 1万+
token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
jwt续签为什么要使用token,是否单个token也可以吗?
java架构师进阶之路的博客
02-26 590
通俗易懂,深入浅出,一文讲清楚jwt的所有细节。
后端token登陆快速入门:token实现登陆,判断登陆过期
Old_Secretary的博客
04-14 2307
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
无感刷新-token!!!
最新发布
qq_64847107的博客
05-18 434
超级管理员下线,用户角色调整,避免单token无感知,及时刷新tokentoken系统通常用于提高安全性和分离不同级别的权限。:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,。:Refresh token是用来在access token过期后重新获取新的access token的。它的,甚至可以说是永久的。
token实现token超时策略示例
09-04
用于restful的app应用无状态无sesion登录示例,需要的朋友可以参考下
token验证
weixin_73195042的博客
12-02 571
token验证
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1449
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
登录生成token的理解
m0_64479814的博客
04-21 4812
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
Java令牌Token登录与退出的实现
08-19
Java令牌Token登录与退出的实现是指一种基于令牌登录机制,通过使用Java语言实现令牌的生成、验证和管理,以实现用户的登录和退出。这种机制的优点是无状态登录,服务器不再存储登录状态,客户端只需要携带令牌就...
koa+jwt实现token验证与刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
JWT Token生成及验证
07-16
在C#中实现JWT Token的生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT个部分组成,用`.`分隔,分别是Header(头部)、Payload(载荷)和Signature(签名)。头部通常包含令牌类型(`typ`...
token验证和微信登录流程图
m0_73499047的博客
09-09 294
token验证流程图: 微信登录流程图:
45.token无感熟悉以及解决sso单点登录限制
YouMing_Li的博客
11-30 1782
上文已经介绍了jwt的基本原理和用法,,本文将介绍token机制,以及sso单点登录
神领物流 day02-网关与支付 Spring Cloud Alibaba 微服务
IT大神帅杰的博客
09-16 1835
神领物流 Spring Cloud Alibaba 微服务
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1826
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
token验证
m0_74091229的博客
07-20 161
/ 从HTTP请求头部获取名为"Authorization"的令牌(token)//402,这个前端接收到了表示要重发请求,但是这次要发的是long_token。//401,代表长token没有过期,这时候就要刷新短token了。@WebFilter("/hallServlet") // 指定过滤器拦截的URL路径模式为以"/Ly"开头的所有URL。// 如果order值为1,表示短token过期,长token未知;/*长token没有过期,直接保存新的短token*/
JWTtoken机制与token详解
热门推荐
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
JWT令牌实现续签代码
12-08
很抱歉,根据提供的引用内容,无法为您提供完整的JWT令牌实现续签代码。但是,我可以为您提供一些思路和建议来解决JWT续签的问题。 JWT续签的基本思路是在JWT过期之前,使用刷新令牌(refresh token)来获取新的JWT。下面是一个简单的JWT续签的代码示例: ```python import jwt import datetime # 定义JWT过期时间和刷新令牌过期时间 JWT_EXPIRATION_DELTA = datetime.timedelta(minutes=30) REFRESH_TOKEN_EXPIRATION_DELTA = datetime.timedelta(days=30) # 生成JWT和刷新令牌 def generate_tokens(user_id): # 生成JWT payload = { 'user_id': user_id, 'exp': datetime.datetime.utcnow() + JWT_EXPIRATION_DELTA } jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') # 生成刷新令牌 refresh_token_payload = { 'user_id': user_id, 'exp': datetime.datetime.utcnow() + REFRESH_TOKEN_EXPIRATION_DELTA } refresh_token = jwt.encode(refresh_token_payload, 'secret_key', algorithm='HS256') return jwt_token, refresh_token # 刷新JWT def refresh_jwt(refresh_token): try: # 验证刷新令牌 payload = jwt.decode(refresh_token, 'secret_key', algorithms=['HS256']) user_id = payload['user_id'] # 生成新的JWT new_jwt_token = jwt.encode({ 'user_id': user_id, 'exp': datetime.datetime.utcnow() + JWT_EXPIRATION_DELTA }, 'secret_key', algorithm='HS256') return new_jwt_token except jwt.ExpiredSignatureError: # 刷新令牌过期 return None ``` 在上面的代码中,`generate_tokens`函数用于生成JWT和刷新令牌,`refresh_jwt`函数用于刷新JWT。当JWT过期时,客户端可以使用刷新令牌来获取新的JWT

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值