JWT过期处理——单token方案

最新推荐文章于 2024-05-10 16:49:33 发布
最新推荐文章于 2024-05-10 16:49:33 发布
阅读量9.5k 收藏 19
点赞数 3
分类专栏: java开发 文章标签: redis java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44347271/article/details/121721121
版权

前后端分离的项目中采用jwt作为接口的安全机制会遇到jwt过期的问题。
jwt中可以设置过期时间,即使是设置成一个月,但可能用户正上一秒还在使用,下一秒jwt过期被叫去重新登录,这是不能接受的,所以需要有处理jwt过期的机制。
在这个问题上比较常用的做法是采用双token——access token和refresh token来处理,access token用户授权,refresh token用于前者过期后获取新的access token。
这里。
我在这里记录我单token方案的思路。

  • 用户登录时生成token并设置过期时间(这里可以设置一个较短的时间,如30分钟),将这个token返回并在下一次请求中携带以用来认证。同时我们在redis中保存该token的刷新标记,key为"jwt_token:userId",value为生成的token,并设置过期时间(这里可以设置一个较长的时间,如7天,作为用户最大未使用时长,超过就需要重新登录)。
  • 后端接收前端请求,如果携带的token未过期,则正常访问。
  • 后端接收前端请求,如果携带的token过期,则拒绝访问并返回一个jwt过期异常。
  • 前端知晓token过期后需要携带过期的token访问token刷新接口,后端查询redis,1)value与token相同:生成新的token,覆盖value,并刷新value的过期时间,返回前端;2)value与token不相同,拒绝刷新,用户重新登录;3)key不存在,拒绝刷新,用户重新登录。
  • 用户重新登录时,生成新的token,并把redis中的相应记录覆盖,用户注销时将redis中的记录删除,旧的token将会在较短的时间后过期且不能刷新。

相较于双token的方案,单token方法既是access token又是refresh token,这样的好处是对于前端无感,前端只需要管理token,过期后带着过期的token重新获取。redis中维护的过期时间即是用户多久没使用必须登录的时间。

这个方法还有改进的空间,如在key中加入设备号字段,这样就可以方式多设备登录的覆盖问题,也可以手动控制不同设备上的注销。

可能有考虑不周的地方,还望指教。

天师吴彦祖
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT 讲解与 token 过期自动续期解决方案
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JWTtoken过期自动续期(无redis
qq_1641486826的博客
01-19 8239
思路: 由于jwt中的token过期时间是打包在token中的,用户登录以后发送给客户端以后token不能变化,那么要在用户无感知的情况下刷新token,就要在符合过期条件的情况下,在缓存一个新的token,作为续命token,再次解析不要解析客户端发送的token,要解析自己缓存的续命token 主要逻辑: 如果当前token没有超过过期时间的两倍,续期,超过了重新登录 主要代码如下: package com.hongseng.app.config.jwtfilter; import enums.Tok
解决asp.net core JWT token过期时间无效
最新发布
kan_kongzhizhen的博客
05-10 297
关于asp.net core JWT token令牌已到过期时间仍然有效问题
JWT生成token过期处理方案
weixin_34111819的博客
08-01 5853
2019独角兽企业重金招聘Python工程师标准>>> ...
详解token过期含义及解决方 token过期是否需要重新登录
专注java二开部署
05-21 3227
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
token 过期处理方案有哪些?
生命不息,挖坑不止
06-29 1万+
在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回登录界面,让用户重新登录。这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要登录,但可能会增加服务器负担。用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简谈谈TOKEN的使用及在C#中的实现
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue后台如何刷新过期token_前后端分离项目,token过期,重新登录和刷新token的问题...
weixin_39972996的博客
12-18 866
这个我刚好在回答后端问题的时候做过详细的解释和方案说明因为用的是我自己的框架,所以你看token部分的逻辑就好,不需要纠结具体的写法 主要就是checkTokenExpire 和 isTokenAlmostExpiredvar USER = APPSITE({// Stuct & datauserid: LOCAL.get('userid') ,openid: LO...
token过期处理,js处理登录身份过期,vue处理token登录过期,前端本地token过期处理,前后端分离token超时刷新策略,token过期解决
weixin_38356321的博客
07-28 2506
/** * 监听token过期时间 * @return: Boolean */ export const tokenExpressInTime = () => { // let reg = /[\u4e00-\u9fa5]/g // let time = localStorage.getItem('tokens') ? JSON.parse(localStorage....
jwt token 过期刷新_初识JWT(Json Web Tokens) 认证一二三
weixin_39935654的博客
11-21 451
1.什么是JWT Token  JWT(Json Web Tokens) 是一个开放标准(RFC 7519),它定义了一种简洁,自包含,JSON 对象形式的安全传递信息的方法。JWT常用在 Web 应用或者移动应用上,Token是令牌的意思,表示只有拿着令牌才具有一些权限。JWT的声明(Claim)一般被用来在身份提供者和服务提供者间传递身份验证信息,也可以增加一些额外的其它业务逻辑所必须的声明信...
java jwt刷新_jwt刷新token
weixin_32562455的博客
02-27 2967
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
JWT token 过期续签的问题想法
STR少寒的博客
12-09 1576
JWT token 过期续签的问题想法 服务端保存签发的token,进行失效判断,使用Redis保存 如果服务端,不保存token 客户端解析 token中 payload的数据,添加失效时间,再失效时间之前再次进行签到 客户端 保存两个 token:access_token、refresh_token refresh_token 的有效期比 access_token 长,成倍数2倍,当access_token 失效后,使用refresh_token去重新进行续签 如果refresh_tok
php jwt设置有效期,07-如何设置JWT过期时间
weixin_39842937的博客
03-27 5252
参考页面要想设置JWT过期时间。需要在payload中增加 exp 此字段。这个字段是JWT内部约定的。用来表示过期时间{    "iss":"http://example.org",//非必须。issuer请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。"iat":1356999524,//非必须。issuedat。token创建时间...
spring security oauth2 jwt过期时间不准原因分析以及解决办法
qq1010830256的博客
11-06 3031
源码跟踪spring security oauth2框架中jwt过期时间不准的问题
JWTToken超时刷新策略
热门推荐
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwttoken自己没有超时刷新机制,所以这里简贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户的JWT生成的Token作为k、v存储到cache缓存里面(这时候k、v值一样) * 2、当该用...
使用jwt技术实现系统间的点登录
05-26 2万+
点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
springBoot jwt 生成不过期token
07-28
要生成一个不过期JWT token,你可以在创建 JWT token 时设置一个较大的过期时间或者设定一个永不过期的时间戳。下面是使用 Spring Boot 和 jjwt 库生成不过期JWT token 的示例代码: 首先,确保你已经在项目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值