JWT下token过期的处理策略

于 2024-05-28 09:53:50 发布
阅读量805 收藏 2
点赞数 3
分类专栏: 开发总结 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43993064/article/details/139255399
版权

策略1

最简单最直接的方式

用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token

策略2

采用单token的方式:

  1. 设置 token 过期时间;

  2. 前端发起请求,后端验证 token 是否过期(JWT工具类有一个:isTokenExpired函数);如果过期,前端发起刷新token请求(前端捕获到401错误,说明要刷新token),后端为前端返回一个新的token;

  3. 前端用新的token发起请求,请求成功;

策略3

采用双token方式

  1. 登录成功以后,后端返回 access_tokenrefresh_token,前端缓存此两种token;

  2. 使用 access_token 请求接口资源,成功则调用成功;如果token超时(返回前端错误代码),前端携带 refresh_token 调用token刷新接口获取新的 access_token;

  3. 后端接受刷新token的请求后,检查 refresh_token 是否过期。如果过期,拒绝刷新,前端收到该状态后,跳转到登录页;如果未过期,生成新的 access_token 返回给客户端。

  4. 客户端携带新的 access_token 重新调用上面的资源接口。

  5. 前端退出登录或修改密码后,注销旧的token,清空 access_tokenrefresh_token

参考1

Longer_Wish_C
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT生成token过期处理方案
以梦为马,不负韶华
08-17 7694
业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。 基本思路 单个token token(A)过期设置为15分钟 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果
JWT续期方案
weixin_41914013的博客
06-01 1066
在使用JWT方案的过程中也是遇到了其他的问题,一一解决后,对jwt理解更清晰了。网上给到的方案也挺多的,我没有一一尝试,大家可以根据具体情况选择合适的方案使用。在项目中不考虑性能情况下,我只想简单实现,能颁发token,能续期,能正常过期,能退出登录就可以了。这个方案是遇到了问题,后来就演变成这个方案了。- 后端返回给前端一个生成的Token,前端存在本地Localstorage中,每次请求API放在Header中。Token的续期方案有很多,根据前后端自由搭配,自主设计只要没有bug,都没有问题。
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
最新发布
民工哥的博客
03-28 434
点击下方“Java编程鸭”关注并标星更多精彩 第一时间直达今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连区别基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服...
后端配置jwt的expire的时间过期后,浏览器中localstorage还存在token,导致出现验证码加载失败。
bestrongest的博客
03-26 2037
项目场景: springboot + spring security + jwt + vue中保存在local storage 中token的存在时间 问题描述 后端配置jwt的expire的时间过期后,浏览器中localstorage还存在token,导致出现验证码加载失败。 原因分析: request.interceptors.response.use( response => { console.log("response ->" + response) let
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 8319
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
jwttoken如何刷新?
小青龙,创造,变强
02-27 4413
jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?
token超时刷新策略
bieber007的博客
09-14 3709
需求分析 我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token刷新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
JWT 讲解与 token 过期自动续期解决方案
热门推荐
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JWT 报错 Token has expired
JunyAn_Cyw的博客
10-10 8870
"message": "Token has expired", "exception": "Tymon\\JWTAuth\\Exceptions\\TokenExpiredException", "file": "D:\\Work\\Laravel\\SDUTdingding\\2_back-end\\vendor\\tymon\\jwt- ...
jwt-demo token实战
12-06
jwt_token关于web项目的实战代码,绝对可用,导入eclipse中即可运行
JWT Token生成及验证
07-16
7. **刷新Token策略**:为了避免JWT长期有效带来的风险,通常会配合使用刷新Token(Refresh Token)。当JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常...
web api JWT token认证
04-24
"JWTToken.sln"可能是一个Visual Studio解决方案文件,包含了整个项目的配置和依赖。"packages"文件夹可能包含了项目所需的NuGet包,比如JWT相关的库。"Web"可能是Web API项目的主要源代码,其中可能有Startup.cs...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在实际应用中,还需要考虑JWT的刷新和过期策略。当JWT过期时,用户需要重新登录获取新的JWT。为了提高用户体验,可以提供一个刷新令牌的机制,允许用户在不重新登录的情况下获取新令牌。这通常涉及到另一个专门的...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
在这个情况下,提供的"JWT.dll"是一个预编译的C# DLL文件,可以直接在项目中引用,以利用JWT的功能。以下是对JWT和这个DLL文件的详细解释: 1. **JWT结构**:一个JWT由三部分组成,用`.`分隔: - Header(头部):...
基于net core5.0的jwt过期超过一定时间则返回过期提醒,未超过则自动刷新
06-14
在.NET Core 5.0框架下,JWT(JSON Web Tokens)是常见的用于身份验证和授权的机制。JWT允许客户端在服务器上获取一个令牌,然后在后续的请求中携带该令牌,以此来验证用户的身份,而无需在每个请求中发送用户名和...
JWT登录过期-自动刷新token方案介绍
rdhj5566的专栏
07-14 1万+
在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在⽤户操作页⾯期间,突然提⽰登录,则体验很不友好,所以就有了token⾃动刷新需求。但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去中⼼化,⽆状态化,所以有所违背类似这样的业务,有阿⾥云⾸页,没有做token刷新令牌维护,但是符合对应的思想⽤户登录成功的时候,⼀次性给他两个Token,分别为AccessToken和RefreshTokenAccessToken有效期较短,
jwt token 过期刷新_SpringSecurity整合JWT
weixin_39691748的博客
12-03 1462
一、前言  最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。二、什么是JWT  JSON Web TokenJWT)是一个开放标准(RFC 7519),...
jwt设置token过期
09-05
JWT(JSON Web Token)是一种用于进行身份验证和授权的标准。JWT包括三个部分,即头部(Header)、载荷(Payload)和签名(Signature)。要设置JWT过期时间,可以在载荷部分添加一个名为"exp"的字段,该字段的值是一个Unix时间戳,表示过期时间。 以下是一个示例JWT的载荷部分: ``` { "sub": "1234567890", "name": "John Doe", "exp": 1638288000 } ``` 在上面的示例中,"exp"字段的值是1638288000,它表示JWT过期时间为2021年12月1日 00:00:00。 在实际开发中,可以使用编程语言提供的JWT库来生成和处理JWT。具体设置JWT过期时间的方法可能因编程语言和库而异。以下是一些常见编程语言的示例代码: **Python**(使用PyJWT库): ```python import jwt import datetime # 生成JWT payload = { 'sub': '1234567890', 'name': 'John Doe', 'exp': datetime.datetime.utcnow() + datetime.timedelta(days=1) # 设置过期时间为1天后 } jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') # 解码JWT decoded_payload = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) ``` **Node.js**(使用jsonwebtoken库): ```javascript const jwt = require('jsonwebtoken'); // 生成JWT const payload = { sub: '1234567890', name: 'John Doe', exp: Math.floor(Date.now() / 1000) + (60 * 60 * 24) // 设置过期时间为1天后 }; const jwtToken = jwt.sign(payload, 'secret_key'); // 解码JWT const decodedPayload = jwt.verify(jwtToken, 'secret_key'); ``` 需要注意的是,JWT过期时间应该根据具体的需求和安全策略进行设置,以确保合理的身份验证和授权机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值