JWT过期处理——单token方案

最新推荐文章于 2024-07-08 16:27:59 发布
最新推荐文章于 2024-07-08 16:27:59 发布
阅读量9.6k 收藏 20
点赞数 3
分类专栏: java开发 文章标签: redis java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44347271/article/details/121721121
版权

前后端分离的项目中采用jwt作为接口的安全机制会遇到jwt过期的问题。
jwt中可以设置过期时间,即使是设置成一个月,但可能用户正上一秒还在使用,下一秒jwt过期被叫去重新登录,这是不能接受的,所以需要有处理jwt过期的机制。
在这个问题上比较常用的做法是采用双token——access token和refresh token来处理,access token用户授权,refresh token用于前者过期后获取新的access token。
这里。
我在这里记录我单token方案的思路。

  • 用户登录时生成token并设置过期时间(这里可以设置一个较短的时间,如30分钟),将这个token返回并在下一次请求中携带以用来认证。同时我们在redis中保存该token的刷新标记,key为"jwt_token:userId",value为生成的token,并设置过期时间(这里可以设置一个较长的时间,如7天,作为用户最大未使用时长,超过就需要重新登录)。
  • 后端接收前端请求,如果携带的token未过期,则正常访问。
  • 后端接收前端请求,如果携带的token过期,则拒绝访问并返回一个jwt过期异常。
  • 前端知晓token过期后需要携带过期的token访问token刷新接口,后端查询redis,1)value与token相同:生成新的token,覆盖value,并刷新value的过期时间,返回前端;2)value与token不相同,拒绝刷新,用户重新登录;3)key不存在,拒绝刷新,用户重新登录。
  • 用户重新登录时,生成新的token,并把redis中的相应记录覆盖,用户注销时将redis中的记录删除,旧的token将会在较短的时间后过期且不能刷新。

相较于双token的方案,单token方法既是access token又是refresh token,这样的好处是对于前端无感,前端只需要管理token,过期后带着过期的token重新获取。redis中维护的过期时间即是用户多久没使用必须登录的时间。

这个方法还有改进的空间,如在key中加入设备号字段,这样就可以方式多设备登录的覆盖问题,也可以手动控制不同设备上的注销。

可能有考虑不周的地方,还望指教。

天师吴彦祖
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt token 过期刷新_JWT Token 刷新和作废
weixin_39581652的博客
11-23 1万+
之前一篇文章简介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
Spring安全框架——jwt的集成(服务器端)
12-21
在本文中,我们将深入探讨如何将JWT(JSON Web Token)集成到Spring安全框架中,以构建一个基于服务器端的身份验证系统。首先,我们先来看如何建立用户表并进行数据库操作。 1. **创建用户表(users)** - 在...
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
民工哥的博客
03-28 460
点击下方“Java编程鸭”关注并标星更多精彩 第一时间直达今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连区别基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服...
获取JWTtoken生成时间和过期时间
最新发布
qq_30255033的博客
07-08 325
获取JWTtoken生成时间和过期时间
关于JWT Token 自动续期的解决方案
weixin_44742132的博客
09-28 5691
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
JWT生成token过期处理方案
weixin_34111819的博客
08-01 5887
2019独角兽企业重金招聘Python工程师标准>>> ...
微服务jwt登录过期解决方案
酷毙了耶的博客
01-06 8506
好长时间没有上来写博客了,想你们了都有点 ,????,近期一直在忙这搭建微服务架构,为一个app提供稳定服务而忙碌,从而在搭建的过程中,遇到了jwt过期以及,恶意刷新jwt的问题,今天主要是针对这两个问题展开教程.话不多说,先说一下什么是jwt ...
JWT 讲解与 token 过期自动续期解决方案
热门推荐
weixin_43249535的博客
01-09 3万+
JWT 讲解 与 token 过期自动续期解决方案1.什么是token2.什么是JWT3.token过期自动续费方案3.1 token过期3.2 解决方案 1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用tok
JwtDemo.rar
05-26
3. **.NET实现JWT**:在.NET环境中,可以使用`System.IdentityModel.Tokens.Jwt`库来处理JWT的生成和验证。这个库提供了`JwtSecurityTokenHandler`类,用于创建和验证JWT。你需要设置合适的签发者(Issuer)、接受者...
003 登录rsa+token 登录rsa+token(需改善 私钥不应该硬编码在类中、密码应该存储为哈希值)
05-05
- 设计合理的Token过期策略,限制Token的生命周期,防止长期有效的Token被盗用。 - 定期更换私钥,增加攻击者获取私钥后的利用难度。 通过以上改进,我们可以大大提高系统的安全性,保护用户数据不受侵犯。
JSON Web Tokens的实现原理
09-21
3. **系统解耦**:JWT携带所有必要的认证信息,这意味着不需要依赖于任何特定的认证方案,只要知道加密方法和密钥即可进行加密解密。 4. **防止跨站点脚本攻击(XSS)**:由于JWT不依赖于Cookie,因此可以避免跨站...
jwt-handbook.zip_JSON_JWT Handbook_jwt handbook_jwt hankbook_jw
09-23
8. **最佳实践**:JWT Handbook可能还包含了如何正确使用和配置JWT的最佳实践,例如设置合适的过期时间,避免在HTTP响应头中暴露敏感信息,以及如何处理JWT的安全漏洞。 通过阅读JWT Handbook,开发者可以深入理解...
JWTtoken过期处理策略
weixin_43993064的博客
05-28 1207
最简最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
JWT token过期自动续期解决方案
Follow me !
12-15 4956
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。 token token就是后端生成的JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证。 token过期刷新方案 1、点登录 用户登录,后端验证用户成功之后生成两个token,这两个token分别是access_t
JWT续期问题,ChatGPT解决方案
全栈行动派的博客
03-04 9154
JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,解决方案:刷新令牌(Refresh Token)、自动延长JWT有效期
JWTtoken过期自动续期(无redis
qq_1641486826的博客
01-19 8382
思路: 由于jwt中的token过期时间是打包在token中的,用户登录以后发送给客户端以后token不能变化,那么要在用户无感知的情况下刷新token,就要在符合过期条件的情况下,在缓存一个新的token,作为续命token,再次解析不要解析客户端发送的token,要解析自己缓存的续命token 主要逻辑: 如果当前token没有超过过期时间的两倍,续期,超过了重新登录 主要代码如下: package com.hongseng.app.config.jwtfilter; import enums.Tok
JWTToken过期自动续期解决方案
Zc2787449041的博客
07-25 3548
php jwt token
关于分布式系统中jwt token主动过期方案总结
qq_34776150的博客
12-10 1918
jwt token本是为了解决服务间无状态调用确认调用身份合法性的问题出现的解决方案。其设计是为了去中心化、无状态的设计,无需一个统一的token管理服务。为了解决无法主动过期token的问题,就需要人为引入状态对token进行管理,需要服务端记录某些token,这又违背了jwt token的设计初衷。在实际生产中如果有类似需求,我们可以根据实际情况结合每种解决方案的优缺点来选择解决方案。我个人比较推荐黑名的解决方案,因为其对存储的要求适中,且可以实时使token主动过期生效,提高了系统的安全性。
token 过期处理方案有哪些?
生命不息,挖坑不止
06-29 2万+
在用户登录时,除了发放一个访问令牌(Access Token)以外,再发放一个刷新令牌(Refrsh Token)。当访问令牌过期时,使用刷新令牌向服务器请求新的访问令牌。当访问令牌过期时,跳转回登录界面,让用户重新登录。这种方式的优点是可以避免用户频繁登录,但需要妥善保管刷新令牌,因为它的安全性比访问令牌更高。这种方式的优点是用户只要频繁访问,就不需要登录,但可能会增加服务器负担。用户每次使用使用访问令牌时,服务器都会更新访问令牌的过期时间。访问令牌的有效期比较短,刷新令牌的有效期比较长。
springBoot jwt 生成不过期token
07-28
要生成一个不过期JWT token,你可以在创建 JWT token 时设置一个较大的过期时间或者设定一个永不过期的时间戳。下面是使用 Spring Boot 和 jjwt 库生成不过期JWT token 的示例代码: 首先,确保你已经在项目中添加了 jjwt 依赖。在 Maven 中,你可以在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 接下来,你可以使用以下代码生成一个不过期JWT token: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "yourSecretKey"; private static final long EXPIRATION_TIME = 86400000; // 设置为24小时 public static String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static Claims getClaimsFromToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); } // 校验token是否过期 public static boolean isTokenExpired(String token) { Date expiration = getClaimsFromToken(token).getExpiration(); return expiration.before(new Date()); } } ``` 在上述代码中,`generateToken` 方法用于生成一个不过期JWT token,`getClaimsFromToken` 方法用于从 token 中获取 claims,`isTokenExpired` 方法用于判断 token 是否过期。 请注意,为了保证安全性,你需要将 `SECRET_KEY` 替换为一个真实的密钥,并且仔细考虑过期时间的设置。此示例中的过期时间设置为 24 小时(86400000 毫秒)。 这样,你就可以使用上述代码生成一个不过期JWT token。希望对你有所帮助!如果有任何问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值