项目使用InMemoryTokenStore时,token有效期设置与强制清除某客户端持有的token

最新推荐文章于 2025-06-24 19:20:20 发布
原创 最新推荐文章于 2025-06-24 19:20:20 发布 · 1.3w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oauth2 #InMemoryTokenStore

本文详细介绍OAuth2中Token的有效期设置及管理方法,包括如何通过客户端详情服务自定义Token的有效时间,以及如何在客户端被删除时清理其关联的所有Token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 设置token有效期

    在使用InMemoryTokenStore(token存储在内存)token生成策略时,系统默认的token的有效时间是12小时。

从oauth源码的默认token生成方法中,可以看出

public class DefaultTokenServices implements AuthorizationServerTokenServices, ResourceServerTokenServices,
		ConsumerTokenServices, InitializingBean {

	private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.

	private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.
.............................
        private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
             DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
             int validitySeconds = getAccessTokenValiditySeconds(authentication.getOAuth2Request());
             if (validitySeconds > 0) {
                  token.setExpiration(new Date(System.currentTimeMillis() + (validitySeconds * 1000L)));
             }
             token.setRefreshToken(refreshToken);
             token.setScope(authentication.getOAuth2Request().getScope());

             return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;
        }
      
       /**
        * The access token validity period in seconds
        * @param clientAuth the current authorization request
        * @return the access token validity period in seconds
        */
       protected int getAccessTokenValiditySeconds(OAuth2Request clientAuth) {
         if (clientDetailsService != null) {
             ClientDetails client = clientDetailsService.loadClientByClientId(clientAuth.getClientId());
             Integer validity = client.getAccessTokenValiditySeconds();
             if (validity != null) {
                 return validity;
             }
         }
         return accessTokenValiditySeconds;
      }
 ......................

}
从上面官方源码我们可以了解到2个事情

1. 在token对象里面包含了token的过期时间

2. ClientDetails 中的AccessTokenValiditySeconds字段可以指定token的有效期

目前我已经有一个自定义的客户端验证服务类。那么可以在验证客户端对象时,直接调用AccessTokenValiditySeconds的set方法,设置token有效期,这个时间的单位是秒

我的代码:

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.provider.ClientDetails;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.ClientRegistrationException;
import org.springframework.security.oauth2.provider.client.BaseClientDetails;

import bap.core.config.util.spring.SpringContextHolder;
import bap.core.dao.BaseDao;
import bap.pp.core.config.item.domain.ConfigItem;
import bap.pp.strongbox.client.domain.ClientDetail;

/**
 * 客户端身份验证
 * @author Amanda.Z
 *
 */
public class ClientDetailConfig implements ClientDetailsService{

	private BaseDao baseDao;
	
	public ClientDetailConfig() {
		baseDao=SpringContextHolder.getBean(BaseDao.class);
	}
	
	/* 
	 * 根据客户端clientid检查客户端有效性,如果有效,则封装为oauth2客户端对象
	 * @see org.springframework.security.oauth2.provider.ClientDetailsService#loadClientByClientId(java.lang.String)
	 */
	@Override
	public ClientDetails loadClientByClientId(String clientId) throws ClientRegistrationException {
		BaseClientDetails details=new BaseClientDetails();
		ClientDetail client=(ClientDetail) this.baseDao.getUniqueResultByHql("from ClientDetail where clientName=? and deleted=0",clientId);
		if(client!=null){
			//设置客户端id
			details.setClientId(client.getClientName());
			//客户端私钥
			details.setClientSecret(client.getClientSecret());
			//受保护资源id
			List<String> resourceList=new ArrayList<>();
			resourceList.add(client.getResource().getResourceKey());
			details.setResourceIds(resourceList);
			//oauth2保护模式,本项目默认全部是客户端认证模式
			List<String> authorizedGrantTypes=new ArrayList<>();
			authorizedGrantTypes.add("client_credentials");
			details.setAuthorizedGrantTypes(authorizedGrantTypes);
			//客户端传入的参数
			List<String> scopList=new ArrayList<>();
			scopList.add("view");
			scopList.add(client.getScope());
			details.setScope(scopList);
			//设置此客户端持有的用户组
			Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
			if(bap.util.StringUtil.isNotEmpty(client.getAuthoritites())){
				String [] authArray=client.getAuthoritites().split(",");
				for (String auth : authArray) {
					auths.add(new SimpleGrantedAuthority(auth));
				}
			}
			details.setAuthorities(auths);
			//设置token有效时间,单位是秒,(如果不设置,框架内部默认是12小时,本平台设置默认2小时)
			details.setAccessTokenValiditySeconds(Integer.parseInt(ConfigItem.TokenValiditySeconds.getVal()));
		}
		return details;
	}

}

注意:这里通过ClientDail设置进去的token有效时间,只要有效时间没有过,不管这个时候,客户端是否被删除,都不会影响这个token的访问。

      这个时候 ,产生了一个明显的问题,认证端管理员创建了某个客户端账户,并分配了权限,这个客户端获取了一个token,如果这个时候管理员希望把这个客户端删除,理论上应该连带这个客户端产生的token也删除。

      接下来,介绍如何解决上面的问题,在自己的服务类中,删除某个客户端账户产生的token数据

      首先还是先看源码,我使用的是InMemoryTokenStore,其中已经具备了删除token的方法:

public class InMemoryTokenStore implements TokenStore {

	private static final int DEFAULT_FLUSH_INTERVAL = 1000;

	private final ConcurrentHashMap<String, OAuth2AccessToken> accessTokenStore = new ConcurrentHashMap<String, OAuth2AccessToken>();

	private final ConcurrentHashMap<String, OAuth2AccessToken> authenticationToAccessTokenStore = new ConcurrentHashMap<String, OAuth2AccessToken>();

	private final ConcurrentHashMap<String, Collection<OAuth2AccessToken>> userNameToAccessTokenStore = new ConcurrentHashMap<String, Collection<OAuth2AccessToken>>();

	private final ConcurrentHashMap<String, Collection<OAuth2AccessToken>> clientIdToAccessTokenStore = new ConcurrentHashMap<String, Collection<OAuth2AccessToken>>();

	private final ConcurrentHashMap<String, OAuth2RefreshToken> refreshTokenStore = new ConcurrentHashMap<String, OAuth2RefreshToken>();

	private final ConcurrentHashMap<String, String> accessTokenToRefreshTokenStore = new ConcurrentHashMap<String, String>();

	private final ConcurrentHashMap<String, OAuth2Authentication> authenticationStore = new ConcurrentHashMap<String, OAuth2Authentication>();

	private final ConcurrentHashMap<String, OAuth2Authentication> refreshTokenAuthenticationStore = new ConcurrentHashMap<String, OAuth2Authentication>();

	private final ConcurrentHashMap<String, String> refreshTokenToAccessTokenStore = new ConcurrentHashMap<String, String>();

	private final DelayQueue<TokenExpiry> expiryQueue = new DelayQueue<TokenExpiry>();

	private final ConcurrentHashMap<String, TokenExpiry> expiryMap = new ConcurrentHashMap<String, TokenExpiry>();

	private int flushInterval = DEFAULT_FLUSH_INTERVAL;

	private AuthenticationKeyGenerator authenticationKeyGenerator = new DefaultAuthenticationKeyGenerator();

	private AtomicInteger flushCounter = new AtomicInteger(0);
        .............................
        //从内存中清除token记录
        public void removeAccessToken(OAuth2AccessToken accessToken) {
		removeAccessToken(accessToken.getValue());
	}

        //根据clientid获取其所有token
	public Collection<OAuth2AccessToken> findTokensByClientId(String clientId) {
               Collection<OAuth2AccessToken> result = clientIdToAccessTokenStore.get(clientId);
                return result != null ? Collections.<OAuth2AccessToken> unmodifiableCollection(result) : Collections
                .<OAuth2AccessToken> emptySet();
        }
        //根据token值,在内存中移除这条token的记录
	public void removeAccessToken(String tokenValue) {
		OAuth2AccessToken removed = this.accessTokenStore.remove(tokenValue);
		this.accessTokenToRefreshTokenStore.remove(tokenValue);
		// Don't remove the refresh token - it's up to the caller to do that
		OAuth2Authentication authentication = this.authenticationStore.remove(tokenValue);
		if (authentication != null) {
			this.authenticationToAccessTokenStore.remove(authenticationKeyGenerator.extractKey(authentication));
			Collection<OAuth2AccessToken> tokens;
			String clientId = authentication.getOAuth2Request().getClientId();
			tokens = this.userNameToAccessTokenStore.get(getApprovalKey(clientId, authentication.getName()));
			if (tokens != null) {
				tokens.remove(removed);
			}
			tokens = this.clientIdToAccessTokenStore.get(clientId);
			if (tokens != null) {
				tokens.remove(removed);
			}
			this.authenticationToAccessTokenStore.remove(authenticationKeyGenerator.extractKey(authentication));
		}
	}
        ...............
}

      我们看到这些remove方法,入参要求传入token的,显然我并不知道这个客户端的token的值,我只有这个客户端的对象本身,那么,再看另外的方法findTokensByClientId通过这个方法,可以由clientid获取到这个客户端所有token值,也就是说,接下来,只需要调用这个方法,遍历结果集,逐个调用remove方法移除即可。

     事实上,真正坑爹的是,你得不到InMemoryTokensStrore这个类的实例对象,从Spring容器中,竟然获取不了,我试着用@autowride获取它,直接异常。这是,求助官网文档,但是连个P都没说。所以继续扣源码!!

     持续向上查找所有调用InMemoryTokenStore这个类中方法,并且能够提供对tokenStore的get方法的类,还要求能够从spring中获取得到这个类对象,终于!终于!在public final class AuthorizationServerEndpointsConfigurer 这个类里面我找到了tokenStore的get方法。 


public final class AuthorizationServerEndpointsConfigurer {

	private AuthorizationServerTokenServices tokenServices;

	private ConsumerTokenServices consumerTokenServices;

	private AuthorizationCodeServices authorizationCodeServices;

	private ResourceServerTokenServices resourceTokenServices;

	private TokenStore tokenStore;

	private TokenEnhancer tokenEnhancer;

	private AccessTokenConverter accessTokenConverter;

	private ApprovalStore approvalStore;

	private TokenGranter tokenGranter;

	private OAuth2RequestFactory requestFactory;

	private OAuth2RequestValidator requestValidator;

	private UserApprovalHandler userApprovalHandler;

	private AuthenticationManager authenticationManager;

	private ClientDetailsService clientDetailsService;

	private String prefix;

	private Map<String, String> patternMap = new HashMap<String, String>();

	private Set<HttpMethod> allowedTokenEndpointRequestMethods = new HashSet<HttpMethod>();

	private FrameworkEndpointHandlerMapping frameworkEndpointHandlerMapping;

	private boolean approvalStoreDisabled;

	private List<Object> interceptors = new ArrayList<Object>();

	private DefaultTokenServices defaultTokenServices;

	private UserDetailsService userDetailsService;

	private boolean tokenServicesOverride = false;

	private boolean userDetailsServiceOverride = false;

	private boolean reuseRefreshToken = true;

	private WebResponseExceptionTranslator exceptionTranslator;

        ......................
        //记住这里先
        public boolean isUserDetailsServiceOverride() {
		return userDetailsServiceOverride;
	}
        .............
        public AuthorizationServerEndpointsConfigurer userDetailsService(UserDetailsService userDetailsService) {
		if (userDetailsService != null) {
			this.userDetailsService = userDetailsService;
			this.userDetailsServiceOverride = true;
		}
		return this;
	}
        .................

       //tokenStore是InMemoryTokenStore的父类,这里是关键,我们亲爱的get方法
        public TokenStore getTokenStore() {
		return tokenStore();
	}


那么如何获取AuthorizationServerEndpointsConfigurer,我尝试用@autowride注入我的服务类,然并卵。那么继续挖,在oauth2验证端的原始配置类中,找到了如下语句:

@Configuration
@Order(0)
@Import({ ClientDetailsServiceConfiguration.class, AuthorizationServerEndpointsConfiguration.class })
public class AuthorizationServerSecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

	@Autowired
	private ClientDetailsService clientDetailsService;

	@Autowired
	private AuthorizationServerEndpointsConfiguration endpoints;

	@Autowired
	public void configure(ClientDetailsServiceConfigurer clientDetails) throws Exception {
		for (AuthorizationServerConfigurer configurer : configurers) {
			configurer.configure(clientDetails);
		}
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		AuthorizationServerSecurityConfigurer configurer = new AuthorizationServerSecurityConfigurer();
		FrameworkEndpointHandlerMapping handlerMapping = endpoints.oauth2EndpointHandlerMapping();
		http.setSharedObject(FrameworkEndpointHandlerMapping.class, handlerMapping);
		configure(configurer);
		http.apply(configurer);
		String tokenEndpointPath = handlerMapping.getServletPath("/oauth/token");
		String tokenKeyPath = handlerMapping.getServletPath("/oauth/token_key");
		String checkTokenPath = handlerMapping.getServletPath("/oauth/check_token");
		if (!endpoints.getEndpointsConfigurer().isUserDetailsServiceOverride()) {
			UserDetailsService userDetailsService = http.getSharedObject(UserDetailsService.class);
                        //注意看这行代码
                        endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);
		}

      endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);看到这一行,你会明白,用这个endpoints.getEndpointsConfigurer(),你可以获取到AuthorizationServerEndpointsConfigurrer对象。那么这个endpoints这货,是怎么拿到的,是@autowride来的,他在spring容器!妥了这回!

      我的客户端全部都是自定义的,有自己的服务类,所以,现在我可以在我自己的服务类中的删除客户端方法中这样写:

@Autowired
private AuthorizationServerEndpointsConfiguration endpoints;

@Transactional
	public boolean delete(String[] ck_ids) {
		//执行逻辑删除操作
		for (String id : ck_ids) {
			ClientDetail detail=this.baseDao.get(ClientDetail.class, id);
			//移除这个客户端创建的所有token
			InMemoryTokenStore tokenStore=(InMemoryTokenStore) endpoints.getEndpointsConfigurer().getTokenStore();
			Collection<OAuth2AccessToken> tokens=tokenStore.findTokensByClientId(detail.getClientName());
			if(tokens!=null&&tokens.size()>0){
				for(OAuth2AccessToken accessToken:tokens){
					tokenStore.removeAccessToken(accessToken);
				}
			}
			//对客户端进行逻辑删除
			detail.setDeleted(1);	
			this.baseDao.update(detail);
		}
		return true;
	}


打完收工

Springboot+Shiro+jwt+Redis+Mybatis 有效期Token刷新方案.zip
02-04
当JWT的有效期即将过期,可以通过刷新令牌的方式延长其有效期,提高用户体验。 Redis是一个高性能的键值数据库,常用于缓存和会话管理。在这里,Redis用于存储和管理JWT刷新令牌,以便在JWT到期前快速刷新,而...
七牛云token生成器(纯客户端生成).exe
11-17
可以根据AccessKey,SecretKey,Bucket_name,ExipreTime和key生成微信小程序上传图片等资源到七牛云需要的token,七牛云不推荐纯客户端生成token,所以本小工具仅供测试哦,工具亮点:可以配置key,可以配置过期...
token有效期设置
qq_38930240的博客
12-24 1万+
Calendar calendar = new GregorianCalendar(); Date date = new Date(); calendar.setTime(date); calendar.add(GregorianCalendar.YEAR, 1);//把日期往后增加一年.整数往后推,负数往前移动 calendar...
LiveGBS流媒体平台GB/T28181功能-如何设置TOKEN有效期有效间接口调用token的有效
青柿视频流媒体的博客
04-07 501
token_key , 每次启动服务的候,都会生成一个新的key。如不配置固定的, 重启之后之前获取的token都会无效。配置后需重启LiveCMS后生效。配置 token_timeout,默认的有效期是 604800,可以在livecms.ini 里面配置有效期单位(秒),配置后需重启LiveCMS后生效。调用登陆接口后,会获得一个token,默认的有效期是多少呢?livecms.ini -> [http] -> token_key=随机字符串。,可以传递Token(秒)
spring-security-oauth2系列:授权码授权模式
最新发布
lingdian23的专栏
06-24 1165
本篇文章研究spring-security框架如何实现OAuth2的授权码授权模式,该模式的客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。
使用token实现在有效期内APP自动登录功能
細水、長流√的专栏
12-19 8980
实现此功能的场景是在当下用户对手机APP体验要求高,并且相对安全前提的推动下诞生;当你下载了一个QQ,微信第一次进行了账号和密码的登录,你从此以后打开应用免去了你每日打开应用都要输入账号跟密码的痛苦过程,在产品体验方面来讲,这种体验更为让用户容易接受。那么,这种自动登录如何实现; 之前在APP里面接入达达配送的候,看到他们提供的API接口里面大致有了这个一个认证的过程,自己琢磨了一下,依稀的弄...
oauth1+jwt无状态登录策略分析
花&败
11-26 535
1.该版本的登录采用的是oauth1+jwt无状态登录策略 2.存在的问题 1)同一用户可以在不同的地点同登陆 2)token的过期设置为1天,在一天内连续多次登陆,会生成多个不同的token,这些token都不会失效,都可以用来访问系统资源 3)token 一旦派发出去,如果后端不增加其他逻辑的话,它在失效之前都是有效的 3.解决办法 1)将 token 存入内存数据库: 将 token 存入 DB 中,redis 内存...
设置 localstorage 定清除
qq_42881675的博客
07-05 2664
可以使用 storage-timing 可以设置 localStorage 定删除。
详解vue项目使用token的身份验证的简单实践
01-19
前端将token保存在本地中, 建议使用localstorage进行保存. 下次对服务器发送请求, 带上本地存储的token 服务器端,进行对token的验证, 通过的话, 进行相应的增删改查操作, 并将数据返回给前端 为通过则返回错误...
token项目中的使用
02-05
本文将深入探讨`token`在项目中的使用,以及`tokenUtil`相关的知识点。 首先,让我们理解什么是`token`。在软件工程中,`token`通常指的是在用户成功验证其身份后服务器返回的一个小数据片段,它包含了一个或多个...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
5. **处理Token过期**:访问令牌通常有有效期,过期后需要刷新。如果WebAPI支持刷新令牌(Refresh Token),客户端可以在令牌即将过期发送一个刷新请求,获取新的访问令牌。 这就是在WinForm应用中调用使用OAuth...
5.access_token和refresh_token效如何设置
Lambda
01-19 2145
access_token和refresh_token实效如何设置 什么候需要用户跳转到登录页面重新登录? token 过期了就需要用户跳转到等页面重新登录?显然不是,如果是 不活跃用户 token过期了,确实需要跳转到登录页面重新登录。但是如果是 活跃用户,就算Token过期了,也不应该跳转到登录页面重新登录。 设置 为了保证能够刷新用户端的 access_token ,re...
vue中对token有效期的理解
热门推荐
黄钢的博客
09-16 2万+
保持登录是每个web页面必须要做的,不能一直不停的让用户进行登录,也不能让用户不登录就直接进入页面。token在保持登录中起到了非常重要的作用,我之前写过一篇博客,,这篇博客详细的说明了后端如何向前端传递token,前端如何将token保存在localstorage中,并通过请求拦截的方式判断token是否过期。我不确定这么写是否真的能起到作用,因为我后面写代码的候,我发现我后端明明设定的token有效期是10个小,而本地localstorage中还一直有这个token并没有清除
解决 DjangoRestFramework 的 TokenAuthentication Token 没有过期的问题
cpxsxn的博客
10-17 1068
上篇我们介绍了 DjangoRestFramework 的 TokenAuthentication 方案,同提到了该方案有个问题是 Token 永远不过期。本文我们就利用继承 DjanoRestFramework 的 TokenAuthentication 重写其中的 authenticate_credentials 方法来实现给 Token 加个有效期。 # 自定义的ExpiringToken...
如果一直在操作网页token会失效吗?
m0_74099927的博客
04-11 712
如果一直在操作网页token会失效吗?
Spring Security TokenStore实现3+1详解
weixin_34205826的博客
12-29 1176
TokenStore:Persistence interface for OAuth2 tokens.(对于OAuth2令牌持久化接口) 官方文档 TokenStore 的默认实现有三种: InMemoryTokenStore JdbcTokenStore JwtTokenStore 此外,将会根据TokenStor的特性多自定义一种实现——RedisTokenStore 一、InMem...
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
qq_42264638的博客
05-06 2347
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
个人博客--小小笔记2
qq_48021871的博客
08-16 2318
JWT(token)、事务管理、拦截器、过滤器、ThreadLocal内存泄漏、精度丢失、线程池、int基本类型在执行操作会默认赋值0
Oauth2设置令牌过期间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 9119
我们再配置ouath2候都会配置资源认证的服务器 其中在配置授权服务器断点会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌的过期间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
生成Token设置有效期 是前端设置还是后端
05-10
<think>好的,我现在需要帮助用户解答关于在WebSocket中生成Token设置有效期应由前端还是后端负责的问题。用户之前已经询问过WebSocket如何设置Token有效期,现在进一步明确责任归属。 首先,我需要回顾之前的回答,确保这次回答一致。之前提到生成Token后端负责设置有效期,比如使用JWT的exp字段或Redis存储。现在用户的问题更具体,需要明确前端还是后端负责。 接下来,我需要分析用户的需求。用户可能是在设计系统架构,需要了解前后端职责划分,或者遇到相关问题需要解决。他们可能担心安全问题,或者想了解最佳实践。 然后,我要考虑技术细节。Token的生成和有效期设置通常涉及安全性和控制,后端处理更安全,因为前端容易被篡改。比如JWT的exp字段由后端生成,确保不可篡改。同,后端可以通过Redis等存储机制强制过期,即使Token未过期也能撤销访问权限。 还需要引用之前的参考资料,比如引用[1]中提到客户端发送UUID,但生成Token应由服务端处理。引用[2]中的扫码登录流程,服务端协调认证,这也支持后端负责Token的观点。 此外,用户可能担心前后端协作,比如Token刷新机制,是否需要前端参。但即使需要前端传递新Token,生成和有效期设置仍由后端处理。 最后,要确保回答结构清晰,分点说明原因,给出示例代码,并总结最佳实践。同,生成相关问题,帮助用户进一步理解。</think>#### 专业结论: **Token有效期设置必须完全由后端负责**,这是保障系统安全的核心设计原则。 --- ### 一、后端负责的三大核心原因 1. **防篡改保障** - 前端代码完全暴露在浏览器中,攻击者可以轻易修改本地间或伪造`exp`字段 - 示例:JWT签名验证机制 ```java // 后端验证JWT有效性(Spring Security示例) Claims claims = Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(token) .getBody(); if(claims.getExpiration().before(new Date())) { // 强制后端验证间戳 throw new TokenExpiredException(); } ``` [^4][^5] 2. **强制过期控制** - 即使Token未过期,后端可通过Redis等存储系统强制使其失效 ```python # Django通道示例:双重验证机制 async def websocket_connect(self, event): token = self.scope['query_string'].decode().split('=')[1] if not cache.get(f"valid_token:{token}"): # 检查Redis存储状态 await self.close(code=4001) ``` [^3][^5] 3. **钟同步问题** - 不同客户端设备的系统间可能存在偏差,后端统一使用服务器间保证准确性 --- ### 二、前后端协作模式 | 阶段 | 前端职责 | 后端职责 | |--------------|------------------------------|--------------------------------------| | Token生成 | 发送认证请求 | 生成带有效期Token并签名 | | Token传递 | 通过WebSocket协议头携带Token | 解码并校验有效期 | | Token刷新 | 接收过期通知 | 主动推送新Token/触发重新认证流程 | --- ### 三、具体实现方案对比 **方案1:JWT标准有效期(推荐)** ```javascript // 后端Node.js生成示例 const token = jwt.sign( { userId: 123, exp: Math.floor(Date.now() / 1000) + 3600 // 后端设置1小有效期 }, secretKey ); ``` [^4] **方案2:服务端存储控制** ```java // Spring Boot + Redis方案 public String generateToken(String userId) { String token = UUID.randomUUID().toString(); redisTemplate.opsForValue().set( "ws_token:" + userId, token, 1, TimeUnit.HOURS // 设置存储有效期 ); return token; } ``` [^5] --- ### 四、错误实现案例警示 ❌ **危险的前端做法**(绝对禁止): ```javascript // 前端伪造过期间(可被绕过) const fakeExp = Date.now() + 3600000; const fakeToken = { data: 'user123', exp: fakeExp }; localStorage.setItem('token', JSON.stringify(fakeToken)); ``` --- ### 五、最佳实践总结 1. **敏感操作隔离**:有效期计算、签名生成等操作必须运行在服务端环境 2. **双重验证机制**:同使用JWT过期间和服务端存储状态检查 3. **动态刷新策略**:在Token过期前通过WebSocket推送更新指令[^2] ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值