深入探讨 JWT:令牌过期处理与刷新令牌机制

最新推荐文章于 2025-11-10 18:12:13 发布
原创 最新推荐文章于 2025-11-10 18:12:13 发布 · 2.3k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#分布式 #微服务 #go #json #web

该文章已生成可运行项目,

在使用 JSON Web Token(JWT) 进行身份验证的过程中,如何处理令牌过期是一个关键问题。由于 JWT 的无状态特性,一旦令牌过期,用户必须重新登录获取新的令牌,这无疑会影响用户体验。为了解决这一问题,通常会引入 刷新令牌(Refresh Token) 机制,允许用户在不重新登录的情况下获取新的访问令牌。

本文将详细介绍 如何处理 JWT 令牌过期,以及 刷新令牌的实现逻辑,帮助你更好地理解这一过程,并在实际项目中灵活运用。

一、JWT 令牌过期处理

1. 设置合理的过期时间

JWT 中有一个重要的声明——exp(Expiration Time),用于指定令牌的过期时间戳。通过合理设置这个值,可以在一定程度上平衡安全性和用户体验。

  • 短期令牌:如 15 分钟或 30 分钟的有效期,适用于对安全性要求较高的场景,可以减少令牌被窃取后利用的风险。
  • 长期令牌:对于一些低敏感度的应用,可以适当延长有效期,但不应过长,以免增加安全风险。
{
    "exp": 1691049422 // Unix 时间戳,表示 2023-08-03 14:37:02 UTC
}

2. 检测令牌过期

当客户端发送带有已过期 JWT 的请求时,服务器可以通过以下方式检测:

  • 解析失败:尝试解析 JWT 时,如果 exp 声明的时间早于当前时间,则抛出异常。
  • 返回特定错误码:常见的 HTTP 状态码是 401 Unauthorized,并附带提示信息,告知客户端令牌已过期。
func validateToken(tokenString string) (*jwt.Token, error) {
    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
        if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
            return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
        }
        return []byte(secretKey), nil
    })

    if err != nil {
        return nil, err
    }

    if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {
        if exp, ok := claims["exp"].(float64); ok && time.Now().Unix() > int64(exp) {
            return nil, errors.New("token expired")
        }
        return token, nil
    }

    return nil, errors.New("invalid token")
}

3. 处理过期令牌

一旦检测到令牌过期,服务器应返回相应的错误响应,提示客户端需要重新获取新的令牌。此时,客户端有两种选择:

  • 重新登录:最简单的方式是让用户重新输入用户名和密码进行登录。
  • 使用刷新令牌:如果启用了刷新令牌机制,客户端可以使用刷新令牌来获取新的访问令牌,而无需重新登录。

二、刷新令牌的实现逻辑

1. 什么是刷新令牌?

刷新令牌是一种特殊的令牌,专门用于从授权服务器获取新的访问令牌。它的主要特点包括:

  • 较长的有效期:相比访问令牌,刷新令牌的有效期更长,通常为数天甚至数周。
  • 高安全性:刷新令牌应存储在安全的地方(如 HttpOnly Cookie 或本地存储),并且仅在 HTTPS 协议下传输。
  • 可撤销性:为了提高安全性,刷新令牌应支持撤销功能,以便在发现异常情况时立即失效。

2. 刷新令牌的工作流程

步骤 1:初次登录

用户首次登录成功后,服务器生成两个令牌:

  • 访问令牌(Access Token):短期有效的 JWT,用于访问受保护的资源。
  • 刷新令牌(Refresh Token):长期有效的令牌,用于在访问令牌过期后获取新的访问令牌。
func generateTokens(userID string) (string, string, error) {
    accessToken := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
        "sub": userID,
        "exp": time.Now().Add(time.Minute * 30).Unix(),
    })
    refreshToken := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
        "sub": userID,
        "exp": time.Now().Add(time.Hour * 24 * 7).Unix(), // 刷新令牌有效期为一周
    })

    accessTokenString, err := accessToken.SignedString([]byte(secretKey))
    if err != nil {
        return "", "", err
    }

    refreshTokenString, err := refreshToken.SignedString([]byte(refreshSecretKey))
    if err != nil {
        return "", "", err
    }

    return accessTokenString, refreshTokenString, nil
}
步骤 2:访问受保护资源

客户端在每次请求受保护资源时,都会在 HTTP 请求头中携带访问令牌。

Authorization: Bearer <access_token>
步骤 3:令牌过期

当访问令牌过期时,服务器返回 401 Unauthorized 错误,并提示客户端使用刷新令牌获取新的访问令牌。

步骤 4:使用刷新令牌获取新令牌

客户端收到 401 错误后,使用刷新令牌向 /refresh-token 端点发起请求。

POST /refresh-token HTTP/1.1
Content-Type: application/json

{
    "refresh_token": "<refresh_token>"
}

服务器接收到请求后,首先验证刷新令牌的有效性:

  • 检查签名:确保刷新令牌未被篡改。
  • 验证过期时间:确认刷新令牌是否仍在有效期内。
  • 检查黑名单:如果刷新令牌已被撤销,则拒绝请求。

如果验证通过,服务器生成新的访问令牌和刷新令牌,并将其返回给客户端。

func refreshAccessToken(refreshTokenString string) (string, string, error) {
    token, err := jwt.Parse(refreshTokenString, func(token *jwt.Token) (interface{}, error) {
        if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
            return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
        }
        return []byte(refreshSecretKey), nil
    })

    if err != nil || !token.Valid {
        return "", "", errors.New("invalid refresh token")
    }

    claims, ok := token.Claims.(jwt.MapClaims)
    if !ok {
        return "", "", errors.New("cannot convert claims to map")
    }

    newAccessToken, newRefreshToken, err := generateTokens(claims["sub"].(string))
    if err != nil {
        return "", "", err
    }

    return newAccessToken, newRefreshToken, nil
}
步骤 5:更新客户端存储

客户端收到新的访问令牌和刷新令牌后,更新本地存储中的令牌信息,继续使用新的访问令牌进行后续请求。

三、刷新令牌的安全考虑

尽管刷新令牌提供了便利,但也带来了额外的安全挑战。以下是几个关键的安全措施:

1. HTTPS 必须启用

所有涉及令牌传输的操作都应在 HTTPS 下进行,以防止中间人攻击窃取令牌。

2. 刷新令牌应加密存储

刷新令牌应存储在安全的位置,如 HttpOnly Cookie 或加密后的本地存储中,避免泄露给恶意脚本。

3. 定期轮换密钥

无论是访问令牌还是刷新令牌,都应定期更换签名密钥,增强安全性。

4. 刷新令牌黑名单

当用户登出或刷新令牌被盗用时,应立即将其加入黑名单,禁止进一步使用。

5. 限制刷新令牌的使用次数

可以通过记录刷新令牌的使用次数或最近一次使用时间,限制其频繁使用,降低被盗用的风险。

四、总结

通过引入 刷新令牌机制,我们可以有效地解决 JWT 令牌过期 导致的用户体验问题,同时保持系统的安全性。在实际应用中,合理设置访问令牌和刷新令牌的有效期,结合多种安全措施,能够显著提升系统的健壮性和可靠性。

希望这篇文章能帮助你深入理解 JWT 令牌过期处理与刷新令牌机制,并在实际项目中灵活运用这些技术。

本文章已经生成可运行项目
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
开放平台实现安全的身份认证授权原理实战:令牌刷新续期机制
AI天才研究院
11-08 387
开放平台(Open Platform)是一个基于云计算、网络技术、移动互联网和生态圈的新型互联网服务体系结构,其核心价值是提供第三方应用开发者可通过开发工具包,轻松构建符合自身业务场景的多功能、安全、私密的用户界面,将多种不同的数据、信息和服务通过开放平台进行连接、交流、分享。为此,开放平台提供了一整套完整的安全体系:身份认证(Authentication)、授权(Authorization)、数据保护(Data Protection)、访问控制(Access Control)等技术能力。
JWT过期机制怎么设计?资深架构师告诉你4种高可用方案
GatherTide的博客
11-01 754
解决JWT过期难题,4种高可用方案提升ASP.NET Core身份认证体验。涵盖刷新令牌分布式缓存、滑动过期等核心方法,适用于高并发场景,保障系统安全用户体验。方案经资深架构师验证,值得收藏。
微服务jwt登录过期解决方案
酷毙了耶的博客
01-06 9250
好长时间没有上来写博客了,想你们了都有点 ,????,近期一直在忙这搭建微服务架构,为一个app提供稳定服务而忙碌,从而在搭建的过程中,遇到了jwt过期以及,恶意刷新jwt的问题,今天主要是针对这两个问题展开教程.话不多说,先说一下什么是jwt ...
【紧急修复】ASP.NET Core JWT过期处理?这4个坑你可能已经踩了
最新发布
InstrFun的博客
11-10 647
解决ASP.NET Core JWT过期问题,本文详解常见坑点修复方案,涵盖令牌刷新、中间件配置身份验证逻辑优化。适用于API安全用户鉴权场景,提升系统稳定性,值得收藏。
JWT中的Token
m0_64245578的博客
08-18 1280
jwtjson web token的缩写)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对,进行签名。通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理
JWT过期处理——单token方案
weixin_44347271的博客
12-04 1万+
前后端分离的项目中采用jwt作为接口的安全机制会遇到jwt过期的问题。 jwt中可以设置过期时间,即使是设置成一个月,但可能用户正上一秒还在使用,下一秒jwt过期被叫去重新登录,这是不能接受的,所以需要有处理jwt过期的机制。 在这个问题上比较常用的做法是采用双token——access token和refresh token处理,access token用户授权,refresh token用于前者过期后获取新的access token。 这里。 我在这里记录我单token方案的思路。 用户登录时生成t
token超时刷新策略
bieber007的博客
09-14 4140
需求分析 我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token刷新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
JWT刷新令牌机制深入探讨应用技巧
[JWT刷新令牌机制深入探讨应用技巧](https://media.geeksforgeeks.org/wp-content/uploads/20220401174334/Screenshot20220401174003.png) # 1. JWT刷新令牌机制概述 在当今的Web应用中,保护用户数据和接口...
koa+jwt实现token验证刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
angular-auth-jwt:使用 JSON Web 令牌的 AngularJS 身份验证
06-03
3. **刷新令牌**:使用短期JWT并结合刷新令牌策略,定期更新JWT,提高安全性。 **五、总结** 在AngularJS中利用JWT进行身份验证提供了高效且安全的方法。通过理解JWT的工作原理和正确集成`angular-jwt`库,开发者...
NodeJS_JWT:Express.js中的JSON Web令牌JWT
04-29
为了处理用户登出或令牌过期的情况,你可以维护一个刷新令牌系统。当用户请求刷新时,服务器签发一个新的JWT,同时撤销旧的令牌。这通常涉及在数据库中存储令牌,以便在需要时撤销。 **8. 错误处理和中间件链** 在...
JWT令牌刷新机制
YinRJ的博客
03-28 5100
JWT令牌刷新机制 问题来源 JWT令牌保存在客户端,会存在过期时间,那么如果令牌一直没有变化,那么过期时间也不会发生变化。假设一个JWT令牌过期时间是5天,但是用户在这5天内一直在使用本系统,那么理论上当到了第五天的时候就应该是自动对这个令牌进行续期操作,而不是让用户重新登录。 解决办法 双令牌机制 设置长短日期的两个令牌,两个令牌都传给客户端,客户端每次携带两个令牌请求 当两个令牌都没有过期的时候,服务端正常验证逻辑 如果短令牌过期,长令牌没有过期,那么服务端重新生成两个新的令牌返回给客户端,客户端
关于JWT Token 自动续期的解决方案
weixin_44742132的博客
09-28 6128
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
Java实战:实现JWT刷新令牌机制
oandy0的博客
02-25 3255
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
JWTtoken过期处理策略
weixin_43993064的博客
05-28 4063
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
jwt token 过期刷新_.NET Core 2.2 应用JWT进行用户认证及Token刷新
weixin_39795268的博客
12-01 876
本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token刷新方案一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声明。它是基于JSON的,所以它也像json一样可以在.Net、JAVA、JavaScript,、PHP等多种语言使用。为什...
jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token刷新
weixin_39785970的博客
12-01 2076
(给DotNet加星标,提升.Net技能)转自:FlyLolocnblogs.com/FlyLolo/p/ASPNETCore2_26.html本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token刷新方案(ASP.NET Core 系列目录)一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的...
JWT token过期自动续期解决方案
热门推荐
chen子健
08-29 5万+
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。 token token就是后端生成的JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证。 token过期...
React应用中的JWT认证:令牌生成脚本运行指南
本文将探讨如何利用JWTJSON Web Tokens)生成访问令牌刷新令牌,以及如何在使用Create React App创建的React应用中集成JWT认证系统。 ### JWT和认证流程 JWT是一种开放标准(RFC 7519),用于在两方之间以JSON...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值