Sa-Token的Token有效期和临时有效期的区别

已于 2022-02-28 11:19:44 修改
阅读量7.4k 收藏 2
点赞数 2
分类专栏: java sa-token 文章标签: java
于 2022-02-28 11:16:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ControlDemo/article/details/123177825
版权

各位不要再卷了。周六我在家打着游戏,群消息就一直叮叮叮,进去看了看 ,周六还加班干活。哎真卷。(ps:在卷就没了,吐槽一下)

        进入正题,就周六群友提问做一下总结,群友问题,为什么

 不能续期,先说一下这位群友的测试方法,token有效期 10秒 ,在登陆后等待Token到期,在调用 renewTimeout 方法,很不幸 ,这个方法是错误的。 原因呢?很明显。这位群友使用了redis,集成了sa-token-redis包,那么 token的有效期就变成了redis-key的TTL(免得你们百度,直接说了TTL为当前key的生命周期) ,当token到期后 ,会被清空掉,所以renewTimeout方法也就失效了,详细的看一下源码


 	/**
 	 * 对当前 Token 的 timeout 值进行续期 
 	 * @param timeout 要修改成为的有效时间 (单位: 秒) 
 	 */
 	public void renewTimeout(long timeout) {
 		// 续期 db 数据 
 		String tokenValue = getTokenValue();
 		renewTimeout(tokenValue, timeout);
 		
 		// 续期客户端Cookie有效期 
 		if(getConfig().getIsReadCookie()) {
 			setTokenValueToCookie(tokenValue, (int)timeout);
 		}
 	}



 	/**
 	 * 对指定 Token 的 timeout 值进行续期 
 	 * @param tokenValue 指定token 
 	 * @param timeout 要修改成为的有效时间 (单位: 秒) 
 	 */
 	public void renewTimeout(String tokenValue, long timeout) {
 		
 		// Token 指向的 LoginId 异常时,不进行任何操作 
 		Object loginId = getLoginIdByToken(tokenValue);
 		if(loginId == null) {
 			return;
 		}
 		
 		SaTokenDao dao = getSaTokenDao();
 		
 		// 续期 Token 有效期 
 		dao.updateTimeout(splicingKeyTokenValue(tokenValue), timeout);

 		// 续期 Token-Session 有效期 
		SaSession tokenSession = getTokenSessionByToken(tokenValue, false);
		if(tokenSession != null) {
			tokenSession.updateTimeout(timeout);
		}
		
 		// 续期指向的 User-Session 有效期 
 		getSessionByLoginId(loginId).updateMinTimeout(timeout);
 		
 		// Token-Activity 活跃检查相关 
 		if(isOpenActivityCheck()) {
 			dao.updateTimeout(splicingKeyLastActivityTime(tokenValue), timeout);
 		}
 	}


    
	/**
	 * 修改Value的剩余存活时间 (单位: 秒) 
	 */
	@Override
	public void updateTimeout(String key, long timeout) {
		// 判断是否想要设置为永久
		if(timeout == SaTokenDao.NEVER_EXPIRE) {
			long expire = getTimeout(key);
			if(expire == SaTokenDao.NEVER_EXPIRE) {
				// 如果其已经被设置为永久,则不作任何处理 
			} else {
				// 如果尚未被设置为永久,那么再次set一次
				this.set(key, this.get(key), timeout);
			}
			return;
		}
		stringRedisTemplate.expire(key, timeout, TimeUnit.SECONDS);
	}

这三个方法很清楚的写出了renewTimeout的逻辑,就是重新修改当前key的TTL。到此群友问题解决。
        下面再说说和TokenTime看似一样,实际天差地别的东西,activity-timeout(token临时有效期),其实也很好理解,指定时间内无操作就视为token过期,前面说到Token的有效期是redis-key的TTL,而activity-timeout逻辑则是在Session中记录最后操作时间,在判断时根据最后操作时间以及当前时间做差,然后和配置文件中配置的activity-timeout在做差,得出是否过期,下面上代码


 	/**
 	 * 获取指定 token [临时过期] 剩余有效时间 (单位: 秒)
 	 * @param tokenValue 指定token 
 	 * @return token[临时过期]剩余有效时间
 	 */
 	public long getTokenActivityTimeoutByToken(String tokenValue) {
 		// 如果token为null , 则返回 -2
 		if(tokenValue == null) {
 			return SaTokenDao.NOT_VALUE_EXPIRE;
 		}
 		// 如果设置了永不过期, 则返回 -1 
 		if(isOpenActivityCheck() == false) {
 			return SaTokenDao.NEVER_EXPIRE;
 		}
 		// ------ 开始查询 
 		// 获取相关数据 
 		String keyLastActivityTime = splicingKeyLastActivityTime(tokenValue);
 		String lastActivityTimeString = getSaTokenDao().get(keyLastActivityTime);
 		// 查不到,返回-2 
 		if(lastActivityTimeString == null) {
 			return SaTokenDao.NOT_VALUE_EXPIRE;
 		}
 		// 计算相差时间
 		long lastActivityTime = Long.parseLong(lastActivityTimeString);
 		long apartSecond = (System.currentTimeMillis() - lastActivityTime) / 1000;
 		long timeout = getConfig().getActivityTimeout() - apartSecond;
 		// 如果 < 0, 代表已经过期 ,返回-2 
 		if(timeout < 0) {
 			return SaTokenDao.NOT_VALUE_EXPIRE;
 		}
 		return timeout;
 	}

通过上面的代码,就可以清晰的看出activity-timeout的处理逻辑。

各位如果觉得有用得上的地方,就点个赞吧,如果有不同的看法,可以在评论里面反馈。

【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
sa-token过期机制梳理
mp9105的博客
04-03 3072
对应的值,由于该 key 的 timeout 在登录时已经确定了,所以超时后必定获取不到 value 从而报错。生成 login 信息,这里使用 redis 实现,redis 的 key 设置了超时时间。同时设置了一个 last-active 时间。获取到了 value 值,那么会接着取出。上次登录时的时间戳,与 配置中的。也即是会先从 redis 中获取。
Sa-Token 详解
最新发布
qwhsza的博客
04-01 677
SaCheckPermission("user:delete") // 必须具有 user:delete 权限。return "用户信息: " + StpUtil.getLoginId();return "自定义Token-" + loginId;is-read-body: true # 是否从请求体读取 Token。@SaCheckRole("admin") // 必须具有 admin 角色。return "登录成功";// 获取当前用户的 Session。return "管理员页面";
Sa-Token v1.20.0 发布,新增临时Token认证
shengzhang_的博客
06-17 706
框架介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、分布式Session会话、单点登录、OAuth2.0 等一系列权限相关问题。 框架针对踢人下线、自动续签、前后台分离、分布式会话……等常见业务进行N多适配,通过sa-token,你可以以一种极简的方式实现系统的权限认证部分 Sa-Token v1.20.0 版本更新包括以下内容: 新增:新增Solon适配插件,感谢大佬 @刘西东 提供的pr [重要] 新增:新增SaRouter.stop()函数,用于一次性跳出匹配链
权限认证框架sa-tokentoken有效期与实时续签
热门推荐
shengzhang_的博客
12-26 1万+
sa-token sa-token 是一个非常强大的权限认证框架,其集成了诸多好用的特性,诸如:登录验证、权限验证、自定义session会话、踢人下线 等等均可以在框架中一行代码完成调用,官网地址:http://sa-token.dev33.cn/ sa-token的令牌有效期 sa-token 提供两种token自动过期策略,分别是timeoutactivity-timeout,其详细用法如下: timeout timeout代表token的长久有效期,单位/秒,例如将其配置为2592000(30天)
【RuoYi-Vue-Plus】学习笔记 31 - Sa-Token(五)登录验证拦截器之 Token 有效期及其续签(Sa-Token 源码)
MichelleChung的星球
07-30 1万+
分析Sa-Token登录验证拦截器,Token有效期及其续签。
Sa-Token|1】Sa-Token使用教程
颜淡慕潇
06-18 3173
Sa-Token 是一个轻量级的 Java 权限认证框架,提供了简单易用的 API 来处理登录、权限验证等功能。以下是一个详细的 Sa-Token 使用教程,涵盖基本的登录、权限管理、配置等内容。
Spring Boot 整合 SA-Token 使用详解
m0_74825093的博客
12-31 1315
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
Sa-Token使用教程
m0_64132144的博客
11-13 1384
Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。框架集成简单、开箱即用、API设计优雅,通过Sa-Token,你将以一种极其简单的方式实现系统的权限认证部分,有时候往往只需一行代码就能实现功能。Sa-Token功能很全,具体可以参考下图。本节课程带大家实践了一波Sa-Token,我们可以发现它的API设计非常优雅,比起ShiroSpring Security来说确实顺手多了。
Spring Boot 整合 SA-Token 的使用详解
jun778895的博客
08-07 1645
SA-Token是一个轻量级的Java权限认证框架,由国人开发,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。轻量级:SA-Token不依赖任何第三方框架,只依赖JDK原生API,易于学习使用。零配置:SA-Token提供了丰富的内置功能,用户可以通过简单的配置即可使用,无需编写大量的代码。注解式鉴权:SA-Token提供了丰富的注解,如等,可以很方便地在Controller层进行权限控制。丰富的会话管理。
轻量级权限框架之-SoToken
技术宅男
01-09 3207
轻量级的权限认证框架:可主要解决:**登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权** 等一系列权限相关问题。
SaToken学习笔记-01
qq_47815451的博客
08-13 3215
#SaToken学习笔记-01 #####SaToken版本为1.18 如果有排版方面的错误,请查看:传送门 ##springboot集成 根据官网步骤maven导入依赖 <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.18.0</version> <
Sa-Token】Spring Boot项目中使用Sa-Token框架
apple_51673523的博客
03-02 2326
本篇介绍的是Sa-Token的使用
Sa-Token获取当前所有可用Token
ControlDemo的博客
02-15 3478
Sa-Token获取当前所有可用Token
java sa-token自定义拦截 设置最大使用人数(Redis存)
sinat_32759905的博客
06-12 613
【代码】java sa-token自定义拦截 设置最大使用人数(Redis存)
Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 3746
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
SaToken监听器插件:过期注销事件监听
you_get_me_there的博客
09-27 1096
SaToken过期监听
SaToken认证与授权框架
2302_78886445的博客
08-20 2520
Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。SaToken官方文档非常详尽,大家可以按照手册的指引可以很轻松的把SaToken整合到SpringBoot项目中。
springboot集成sa-token来实现登录鉴权(一)
书生灬今天不吃饭的博客
03-15 3512
sa-token是一个轻量级的登录鉴权框架,比之前的shirospringsecurity都要轻量,一行代码就可以实现登录功能。sa-token官网。这里我们不再赘述。直接来看具体实现代码。
sa-token单点登录 验证token是否有效的方法
03-15
### sa-token SSO 中验证 Token 有效性的实现方法 在 sa-token 的单点登录(SSO)体系中,验证 Token 的有效性是一个核心功能。以下是关于如何实现这一功能的具体说明: #### 1. 验证机制概述 为了确保用户的访问请求合法,在每次用户尝试访问受保护资源时,都需要对 Token 进行校验。sa-token 提供了一种高效的分布式会话管理方案,其中 Token 的验证可以通过以下方式完成。 - **本地缓存验证**:如果 Token 存储于内存或 Redis 缓存中,则可以直接查询该存储位置以确认其是否存在以及是否未过期。 - **远程服务调用**:对于分布式的场景下,可以设计一个专门用于验证 Token 合法性的接口[^2]。 #### 2. 接口设计与实现 下面展示了一个基于 Spring Boot 的示例代码片段,它定义了一个 `/validate` 路径用来接收来自其他系统的 Token 并返回布尔值表示此 Token 是否仍然可用。 ```java @RestController public class TokenValidationController { @GetMapping("/validate") public boolean validateToken(@RequestParam String token) { return isTokenValid(token); } private boolean isTokenValid(String token) { // 判断传入参数不为空并存在于数据源内即可认为有效 if (token == null || !tokenExistsInDatabase(token)) { return false; } // 可扩展更多业务逻辑如检查有效期等... return true; } private boolean tokenExistsInDatabase(String token) { // 此处应当连接实际使用的持久化层进行检索操作 // 假设这里有一个伪函数代表真实环境下的行为 return SaManager.getStorage().get(SaTokenConstants.DEFAULT_TOKEN_NAME, token) != null; } } ``` 上述 Java 控制器类中的 `isTokenValid()` 方法实现了基本的 Token 查找流程,并且可以根据项目需求进一步增强安全性措施比如加入时间戳对比防止重放攻击或者绑定 IP 地址减少盗用风险等等。 #### 3. 客户端发起请求 当某个子系统接收到未经身份认证的 HTTP 请求时,应该先提取出 Header 或 QueryString 中携带的 Bearer Token 字段内容再转发给上面提到过的统一授权网关去做最终裁定。一旦判定失败则立即中断后续处理链路并向外部暴露错误响应告知原因;反之继续正常流转直至目标控制器动作被执行完毕为止[^1]。 --- ### 总结 综上所述,sa-token 在 SSO 架构里头提供了灵活多样的手段去保障整个生态内的安全交互过程顺利开展起来。无论是简单的内部状态同步还是复杂的跨域协同作业都能够很好地满足开发人员的实际应用场景所需[^2]。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值