Sa-Token的Token有效期和临时有效期的区别

原创 已于 2022-02-28 11:19:44 修改 · 7.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2022-02-28 11:16:22 首次发布
本文介绍了Sa-Token框架中关于Token续期的问题,解析了为何在Token过期后调用renewTimeout方法无效的原因,主要是由于Redis中Token的有效期与Redis-key的TTL相关。同时,文章还详细解释了activity-timeout(token临时有效期)的概念,它是通过记录最后操作时间来判断是否过期。通过示例代码展示了这两个机制的工作原理。

各位不要再卷了。周六我在家打着游戏,群消息就一直叮叮叮,进去看了看 ,周六还加班干活。哎真卷。(ps:在卷就没了,吐槽一下)

        进入正题,就周六群友提问做一下总结,群友问题,为什么

 不能续期,先说一下这位群友的测试方法,token有效期 10秒 ,在登陆后等待Token到期,在调用 renewTimeout 方法,很不幸 ,这个方法是错误的。 原因呢?很明显。这位群友使用了redis,集成了sa-token-redis包,那么 token的有效期就变成了redis-key的TTL(免得你们百度,直接说了TTL为当前key的生命周期) ,当token到期后 ,会被清空掉,所以renewTimeout方法也就失效了,详细的看一下源码


 	/**
 	 * 对当前 Token 的 timeout 值进行续期 
 	 * @param timeout 要修改成为的有效时间 (单位: 秒) 
 	 */
 	public void renewTimeout(long timeout) {
 		// 续期 db 数据 
 		String tokenValue = getTokenValue();
 		renewTimeout(tokenValue, timeout);
 		
 		// 续期客户端Cookie有效期 
 		if(getConfig().getIsReadCookie()) {
 			setTokenValueToCookie(tokenValue, (int)timeout);
 		}
 	}



 	/**
 	 * 对指定 Token 的 timeout 值进行续期 
 	 * @param tokenValue 指定token 
 	 * @param timeout 要修改成为的有效时间 (单位: 秒) 
 	 */
 	public void renewTimeout(String tokenValue, long timeout) {
 		
 		// Token 指向的 LoginId 异常时,不进行任何操作 
 		Object loginId = getLoginIdByToken(tokenValue);
 		if(loginId == null) {
 			return;
 		}
 		
 		SaTokenDao dao = getSaTokenDao();
 		
 		// 续期 Token 有效期 
 		dao.updateTimeout(splicingKeyTokenValue(tokenValue), timeout);

 		// 续期 Token-Session 有效期 
		SaSession tokenSession = getTokenSessionByToken(tokenValue, false);
		if(tokenSession != null) {
			tokenSession.updateTimeout(timeout);
		}
		
 		// 续期指向的 User-Session 有效期 
 		getSessionByLoginId(loginId).updateMinTimeout(timeout);
 		
 		// Token-Activity 活跃检查相关 
 		if(isOpenActivityCheck()) {
 			dao.updateTimeout(splicingKeyLastActivityTime(tokenValue), timeout);
 		}
 	}


    
	/**
	 * 修改Value的剩余存活时间 (单位: 秒) 
	 */
	@Override
	public void updateTimeout(String key, long timeout) {
		// 判断是否想要设置为永久
		if(timeout == SaTokenDao.NEVER_EXPIRE) {
			long expire = getTimeout(key);
			if(expire == SaTokenDao.NEVER_EXPIRE) {
				// 如果其已经被设置为永久,则不作任何处理 
			} else {
				// 如果尚未被设置为永久,那么再次set一次
				this.set(key, this.get(key), timeout);
			}
			return;
		}
		stringRedisTemplate.expire(key, timeout, TimeUnit.SECONDS);
	}

这三个方法很清楚的写出了renewTimeout的逻辑,就是重新修改当前key的TTL。到此群友问题解决。
        下面再说说和TokenTime看似一样,实际天差地别的东西,activity-timeout(token临时有效期),其实也很好理解,指定时间内无操作就视为token过期,前面说到Token的有效期是redis-key的TTL,而activity-timeout逻辑则是在Session中记录最后操作时间,在判断时根据最后操作时间以及当前时间做差,然后和配置文件中配置的activity-timeout在做差,得出是否过期,下面上代码


 	/**
 	 * 获取指定 token [临时过期] 剩余有效时间 (单位: 秒)
 	 * @param tokenValue 指定token 
 	 * @return token[临时过期]剩余有效时间
 	 */
 	public long getTokenActivityTimeoutByToken(String tokenValue) {
 		// 如果token为null , 则返回 -2
 		if(tokenValue == null) {
 			return SaTokenDao.NOT_VALUE_EXPIRE;
 		}
 		// 如果设置了永不过期, 则返回 -1 
 		if(isOpenActivityCheck() == false) {
 			return SaTokenDao.NEVER_EXPIRE;
 		}
 		// ------ 开始查询 
 		// 获取相关数据 
 		String keyLastActivityTime = splicingKeyLastActivityTime(tokenValue);
 		String lastActivityTimeString = getSaTokenDao().get(keyLastActivityTime);
 		// 查不到,返回-2 
 		if(lastActivityTimeString == null) {
 			return SaTokenDao.NOT_VALUE_EXPIRE;
 		}
 		// 计算相差时间
 		long lastActivityTime = Long.parseLong(lastActivityTimeString);
 		long apartSecond = (System.currentTimeMillis() - lastActivityTime) / 1000;
 		long timeout = getConfig().getActivityTimeout() - apartSecond;
 		// 如果 < 0, 代表已经过期 ,返回-2 
 		if(timeout < 0) {
 			return SaTokenDao.NOT_VALUE_EXPIRE;
 		}
 		return timeout;
 	}

通过上面的代码,就可以清晰的看出activity-timeout的处理逻辑。

各位如果觉得有用得上的地方,就点个赞吧,如果有不同的看法,可以在评论里面反馈。

【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
Ruoyi-vue-plus-5.x第一篇Sa-Token权限认证体系深度解析:1.1 Sa-Token框架基础
08-29 1216
摘要: Sa-Token是一款轻量级Java权限认证框架,提供登录认证、权限控制、会话管理等功能,相比Spring Security更简单易用。核心特性包括简洁API、RBAC模型支持、多端会话管理等。通过StpUtil工具类实现快速登录/鉴权,结合SaSession管理用户数据。RuoYi-Vue-Plus采用Sa-Token构建权限体系,通过StpInterface动态加载角色权限。配置灵活,支持yml自定义Token有效期、并发控制等,适合快速开发企业级应用。
Spring oauth2的token timeout(修改之前不完美的方案)
pushme_pli的专栏
02-19 3056
上一个方案:https://blog.youkuaiyun.com/pushme_pli/article/details/86502499 今天上文提到的实现token timeout的解决方案出了问题:在同时发送若干个request的时候产生了异常,非常常见的JDBC DuplicateKeyException 因为使用了Spring oauth2的JdbcTokenStore(https://docs...
Sa-Token获取当前所有可用Token
ControlDemo的博客
02-15 3632
Sa-Token获取当前所有可用Token
SaToken 简化开发的身份认证与权限管理框架
nihao2q的博客
08-31 788
之前进行鉴权、授权都要写一大堆代码。如果使用像这样的框架,又要花好多时间学习,拿过来一用,好多配置项也不知道是干嘛用的,又不想了解。要是不用token的生成、校验、刷新,权限的验证分配,又全要自己写,想想都头大。太重而且配置繁琐。自己实现所有的点必须又要顾及到,更是麻烦。最近看到一个权限认证框架,真是够简单高效。这里分享一个使用Sa-Token的gateway鉴权demo。
实现 satoken 框架的查询用户信息插件
you_get_me_there的博客
02-28 4867
satoken查询在线用户
权限认证框架sa-tokentoken有效期与实时续签
shengzhang_的博客
12-26 1万+
sa-token sa-token 是一个非常强大的权限认证框架,其集成了诸多好用的特性,诸如:登录验证、权限验证、自定义session会话、踢人下线 等等均可以在框架中一行代码完成调用,官网地址:http://sa-token.dev33.cn/ sa-token的令牌有效期 sa-token 提供两种token自动过期策略,分别是timeout与activity-timeout,其详细用法如下: timeout timeout代表token的长久有效期,单位/秒,例如将其配置为2592000(30天)
【RuoYi-Vue-Plus】学习笔记 31 - Sa-Token(五)登录验证拦截器之 Token 有效期及其续签(Sa-Token 源码)
MichelleChung的星球
07-30 1万+
分析Sa-Token登录验证拦截器,Token有效期及其续签。
Sa-Token-Java资源
最新发布
10-18
这一特性使得开发者可以方便地控制会话的有效期失效机制,使得系统的安全性用户体验都能得到相应的提升。 单点登录(SSO)是Sa-Token的另一个亮点。通过该框架,开发者可以轻松实现多个应用间用户的统一认证。...
2025年最新sa-token使用(源码解析 + 万字).zip
06-25
在配置方面,sa-token提供了多种配置选项,如Token有效期、登录地址、安全配置等,方便开发者根据自己的业务需求进行定制。 3. sa-token源码解析:sa-token作为一个开源项目,其源码结构清晰,分为多个模块,包括...
Springboot 权限认证框架 -- SA-Token 简介(一)
dazhong2012的专栏
06-18 1805
SA-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0等功能。你可以使用SA-Token来轻松地实现项目的权限控制,并且几乎零学习成本。SA-Token以简单、易用、安全为主要设计目标,提供了丰富的API灵活的扩展机制,可以满足大多数项目的需求。Gitee开源地址:GitHub开源地址:SA-Token提供了一系列的API方法,使得在Java项目中实现权限认证变得简单直观。登录与登出。
Sa-Token v1.20.0 发布,新增临时Token认证
shengzhang_的博客
06-17 846
框架介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、分布式Session会话、单点登录、OAuth2.0 等一系列权限相关问题。 框架针对踢人下线、自动续签、前后台分离、分布式会话……等常见业务进行N多适配,通过sa-token,你可以以一种极简的方式实现系统的权限认证部分 Sa-Token v1.20.0 版本更新包括以下内容: 新增:新增Solon适配插件,感谢大佬 @刘西东 提供的pr [重要] 新增:新增SaRouter.stop()函数,用于一次性跳出匹配链
sa-token过期机制梳理
mp9105的博客
04-03 3633
对应的值,由于该 key 的 timeout 在登录时已经确定了,所以超时后必定获取不到 value 从而报错。生成 login 信息,这里使用 redis 实现,redis 的 key 设置了超时时间。同时设置了一个 last-active 时间。获取到了 value 值,那么会接着取出。上次登录时的时间戳,与 配置中的。也即是会先从 redis 中获取。
Sa-Token|1】Sa-Token使用教程
颜淡慕潇
06-18 3658
Sa-Token 是一个轻量级的 Java 权限认证框架,提供了简单易用的 API 来处理登录、权限验证等功能。以下是一个详细的 Sa-Token 使用教程,涵盖基本的登录、权限管理、配置等内容。
轻量级权限框架之-SoToken
技术宅男
01-09 3641
轻量级的权限认证框架:可主要解决:**登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权** 等一系列权限相关问题。
若依修改,登录有效期更新以及强制退出登录,token设置的默认令牌的时间是30分钟,在application里的expireTime:30这里,改时间改这里,推荐使用sa-token,只允许一台设备登
weixin_54048131的博客
07-22 567
【代码】若依修改,登录有效期更新以及强制退出登录,token设置的默认令牌的时间是30分钟,在application里的expireTime:30这里,改时间改这里,推荐使用sa-token,只允许一台设备登。
Sa-token基本使用教程(全网最详细!!!)
国家专精特新小巨人、资深消防行业企业、国家高新技术企业、智慧消防技术实验室、准独角兽企业、浙江省电流AI技术研发中心
06-21 3487
Sa-Token是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。功能简单示例Sa-Token 的 API 设计非常简单,有多简单呢?以登录认证// 在登录时写入当前会话的账号id// 然后在需要校验登录处调用以下方法:// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常权限认证示例(只有具备user:add权限的会话才可以进入请求)// ...
什么是token
zyychl1314的博客
10-19 296
,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串)简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的。解密token:jwt.verify(token,‘加密字符串’,回调函数)生成token:jwt.sign (‘用户信息’,加密字符串,过期时间)(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。Token在计算机身份认证中是。)时所需要的资源凭证。
SaToken使用】SpringBoot整合SaToken(一)token自动续期+token定期刷新+注解鉴权
热门推荐
weixin_43165220的博客
09-28 2万+
SpringBoot整合SaTokentoken自动续期+token定期刷新+注解鉴权
sa-tokensa-token-caffeine插件的使用
07-25
System.out.println("剩余有效期: " + tokenInfo.getTokenTimeout() + "秒"); } } ``` - `StpUtil.getTokenInfo()` 返回的对象包含字段如 `tokenValue`、`loginId`、`tokenTimeout` 等,这些数据现在通过 Caffeine...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值