token 过期后,如何自动续期?

最新推荐文章于 2024-06-10 16:44:05 发布
最新推荐文章于 2024-06-10 16:44:05 发布
阅读量3.1k 收藏 17
点赞数
文章标签: java redis jwt python session
原文链接:https://mp.weixin.qq.com/s?__biz=MzU3NDE0NjMwNw==&mid=2247501141&idx=2&sn=a8626ca0d36e1b6abf01251258c8f169&chksm=fd345739ca43de2fc6006cce8da9d918a5dfcc9ae67d5685ebc7ab9c341f728fb4790d4b2761&scene=126&&sessionid=0
版权

JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。

JWT标准里面定义的标准claim包括:

  • iss(Issuser):JWT的签发主体;

  • sub(Subject):JWT的所有者;

  • aud(Audience):JWT的接收对象;

  • exp(Expiration time):JWT的过期时间;

  • nbf(Not Before):JWT的生效开始时间;

  • iat(Issued at):JWT的签发时间;

  • jti(JWT ID):是JWT的唯一标识。

除了以上标准声明以外,我们还可以自定义声明。以 com.auth0 为例,下面代码片段实现了生成一个带有过期时间的token.

String token = JWT.create()
    .withIssuer(ISSUER)
    .withIssuedAt(new Date(currentTime))// 签发时间
    .withExpiresAt(new Date(currentTime + EXPIRES_IN * 1000 * 60))// 过期时间戳
    .withClaim("username", username)//自定义参数
    .sign(Algorithm.HMAC256(user.getPassword()));

其中:

  • withIssuer() 设置签发主体;

  • withIssuedAt() 设置签发时间;

  • withExpiresAt() 设置过期时间戳,过期的时长为 EXPIRES_IN (单位秒);

  • withClaim() 设置自定义参数。

JWT设置了过期时间以后,一定超过,那么接口就不能访问了,需要用户重新登录获取token。如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。

token过期的续期方案

解决token过期的续期问题可以有很多种不同的方案,这里举一些比较有代表性的例子。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。

单token方案
4ea95a265eda0c9bff4abcd454a844bc.png

  • 将 token 过期时间设置为15分钟;

  • 前端发起请求,后端验证 token 是否过期;如果过期,前端发起刷新token请求,后端为前端返回一个新的token;

  • 前端用新的token发起请求,请求成功;

  • 如果要实现每隔72小时,必须重新登录,后端需要记录每次用户的登录时间;用户每次请求时,检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败,跳转到登录页面。

另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。

上面介绍的单token方案原理比较简单。下面我们再看一个双token方案。

双token方案

  • 登录成功以后,后端返回 access_tokenrefresh_token,客户端缓存此两种token;

  • 使用 access_token 请求接口资源,成功则调用成功;如果token超时,客户端携带 refresh_token 调用token刷新接口获取新的 access_token;

  • 后端接受刷新token的请求后,检查 refresh_token 是否过期。如果过期,拒绝刷新,客户端收到该状态后,跳转到登录页;如果未过期,生成新的 access_token 返回给客户端。

  • 客户端携带新的 access_token 重新调用上面的资源接口。

  • 客户端退出登录或修改密码后,注销旧的token,使 access_tokenrefresh_token 失效,同时清空客户端的 access_tokenrefresh_toke

微信网页授权是通过OAuth2.0机制实现的,也使用了双token方案。

6fbbc61cc2f2e0130226da6a5051d6e2.png
微信网页授权方案

  • 用户在第三方应用的网页上完成微信授权以后,第三方应用可以获得 code(授权码)。code的超时时间为10分钟,一个code只能成功换取一次access_token即失效。

  • 第三方应用通过code获取网页授权凭证access_token和刷新凭证 refresh_token。

  • access_token是调用授权关系接口的调用凭证,由于access_token有效期(2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新。

  • refresh_token拥有较长的有效期(30天),当refresh_token失效的后,需要用户重新授权。

后端实现token过期还可以利用Redis来存储token,设置redis的键值对的过期时间。如果发现redis中不存在token的记录,说明token已经过期了。

来源:toutiao.com/article/6995179162675790350

【热门内容】

SpringBoot官宣:最低要求 Java 17!怎么办?

程序员新人周一优化一行代码,周三被劝退?

面试官:如果要存ip地址,用什么数据类型比较好

MyBatisPlus又在搞事了!发布神器!

重磅:某国产IDE发布,称完全可替代 IntelliJ IDEA!

别总写代码,这130个网站比涨工资都重要

能解决 80% 故障的排查思路

抖音服务器带宽有多大,才能供上亿人同时刷?

别再写 main 方法测试了,太 Low!

System.currentTimeMillis() 太 Low 啦

300多本程序员经典技术书籍高清PDF
加我微信,备注:资料

扫码备注:资料,自动获取
码农code之路
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token过期自动续费方案和实现
想吃凤梨酥的博客
06-18 4085
方案1: 每一次请求都进行重新生成一个新的token【频率过高,性能不好】方案2: 每次登录的时候生成两个token给前端进行返回,一个是用于鉴别用户身份的token,另外一个token则是用于刷新token用的方案3: 登录过后给前端进行返回token并设置了过期时间30分钟,每次请求的时候前端把token存在请求头里面进行发请求,后端接收请求的时候获取请求头出来进行jwt解析判断过期时间是否小于10分钟,如果小于10分钟就生成新的token在responseHearde进行返回即可实现过程:控制器里 过
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
民工哥的博客
03-28 445
点击下方“Java编程鸭”关注并标星更多精彩 第一时间直达今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连区别基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服...
Token方案实现Token自动续期(基于springboot+vue前后端分离项目)
最新发布
qq_44286009的博客
06-10 1797
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
token续期操作
小权权的博客
06-06 735
token续期
token过期时web前端如何自动刷新token
華華的博客
05-29 2万+
token处理登录的web系统,一般会有两个token:access-token和refresh-token。 node.js中,一般用jsonwebtoken这个模块。 access-token,是用户输入登录的账号密码,后台去db验证然后颁发的,它一般记录在浏览器的cookie中,并在浏览器关闭时自动删除,页面访问或ajax访问会自动通过cookie传回到后台,后台直接内存中校验,不用访...
【紧急通知】token即将过期?通过代码分析自动续期的实现
没有简介、全是狠活
10-26 565
token自动续期方式token定时检查续期方便实现,只需后端更改即可存在未及时续期情况双token验证效率更高,适用的特殊情况更多需要前后端协调更改我是小白,记录日常的小白,欢迎大佬们指点。
token自动续期方案
玉兰花秀丽
03-29 6457
该方法的好处:只需N(token的有效时间)分钟续期一次token就行,避免频繁续期 一、原理 登录生成token,有效期10分钟。 将token存入redis,key与value皆为token,有效期20分钟 token返回给前端 前端携带token访问后端,后端先从redis获取token 如果redistoken,则校验token是否到期 没有到期返回ture 到期了,则重新根据账户信息生成token信息,并将token放入redis当 中(注意redis的key不改变),有效期20分钟
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器会生成一个带有时效性的`token...
Android OkHttp实现全局过期token自动刷新示例
01-20
本文将探讨如何使用OkHttp库来实现全局过期token自动刷新,以便在用户无感知的情况下完成这一过程。 首先,我们需要理解`token`和`cookie`的区别。`cookie`是服务器发送给浏览器的一小段数据,存储在用户的本地...
Android token过期刷新处理的方法示例
08-26
Android Token 过期刷新处理方法示例 Android Token 过期刷新处理是移动端应用程序中常见的问题之一。当用户的 Token 过期时,应用程序需要重新刷新 Token,以确保用户的身份验证。下面是 Android Token 过期刷新...
无感刷新token设计模式!(token失效自动获取)
不想被卷出去的前端老鸟
06-30 400
1.token具有固定时效性,例如30分钟内有效,前端在token失效前,前端使用refresh token进行刷新,获取新token,原token和refresh token随即失效。2.refresh token同样具有时效性,通常时效性较长,例如7天,如果refresh token时效,需要通过登录重新获取token和refresh token。无感刷新token解决token失效接口401重复登录问题。普通token+刷新refresh token
token过期怎么办 无感刷新token
青山不改,绿水长流。
10-10 2642
有一些项目token过期获取新的token时候,不止获取access_token,虽然refresh_token没有过期,也会获取,也就是说两个token都获取并更新存放在浏览器中。(1)可以通过响应拦截器或者全局前置守卫强制跳转登录页。
关于JWT Token 自动续期的解决方案
飘渺Jam的博客
07-16 7664
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
token刷新、续期,access_token和refresh_token实效如何设置
热门推荐
a704397849的博客
05-15 5万+
oauth2 token刷新,token续期,access_token和refresh_token实效如何设置 token认证,生成的token 过一段时间就会失效(不要故意把时间设的很长,这样不安全,token变得毫无意义!),用户需要重新登录获取token。用户经常使用客户端,使用过程中 由于token到期 客户端跳转到登录界面要求登录,这样体验极差!比如: token有效期2h,用户一直在使...
JWT(1)介绍与使用
w_t_y_y的博客
01-15 715
.
JWT教程
u010913170的博客
05-19 942
jsonwebtokenJWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名
JSON Web Token 入门教程
weixin_34067102的博客
07-24 940
2019独角兽企业重金招聘Python工程师标准>>> ...
聊一聊JWT(JSON WEB TOKEN)鉴权
crossroads10的博客
08-31 589
JWT 定义: Json web token 是一个开发标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为json对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。可以使用密钥(HMAC算法)或使用RSA的公/私钥对JWT进行签名。 了解下定义的一些概念: 紧凑:由于其大小,它可以通过url,post参数或Http表头发送。另外,由于其内存空间较小,其传输速度很快。 自包含:有效负载包含有关用户的所有必须信息,以避免多次查询数据库或者查询相关缓存带来的相关性...
jwt token自动续期
07-27
对于JWT(JSON Web Token),它本身是无状态的,不包含自动续期的机制。一旦JWT过期时间到达,它就会失效,需要重新获取新的JWT。 要实现JWT自动续期,一种常见的做法是在客户端保存JWT过期时间,并在每次请求中检查JWT的有效性。当JWT即将过期时,客户端可以发送一个特殊的请求到服务器,请求一个新的JWT。服务器端收到这个请求后,可以对客户端进行身份验证,并根据具体的业务需求决定是否颁发新的JWT。 另外一种方式是使用定时任务,在服务器端定期检查JWT过期时间,并在即将过期自动为客户端颁发新的JWT。这种方式需要服务器端维护一个任务调度器,并在适当的时机触发续期操作。 无论选择哪种方式,需要注意安全性问题。在进行续期操作时,要确保进行适当的身份验证和授权,以防止恶意用户或攻击者滥用续期功能。 总结来说,JWT自动续期可以通过在客户端或服务器端进行相应的处理实现。具体实现方式需要根据项目需求和安全考虑来决定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值