Springboot实现JWT Token自动续期

于 2025-04-16 10:34:29 发布
阅读量442 收藏 4
点赞数 3
分类专栏: SpringBoot 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LittleMangoYX/article/details/147270688
版权

为什么需要自动续期?我们的签发一个JWT,在到期之前就会始终有效,无法中途废弃。也就是说JWT是一次性的。想修改里面的内容,就必须签发一个新的JWT,那么如果我签发了一个Token他的过期时间是半小时,在这半小时中即使当前用户一直处于活跃状态,然而时间到了它仍然会失效,会需要我们重新登录,那么我们能不能在判断当前用户一直处于活跃状态的情况下去自动给当前用户的token刷新过期时间呢?这就是JWT Token的自动续期,下面我们结合redis来实现此方案,为了不频繁操作redis,只有当离过期时间只有10分钟时才更新过期时间。

一,首先需要引入JWT和redis的依赖,并在yml中配置好redis的支持

<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
spring:
  redis:
    host: localhost
    port: 6379
    password:
    timeout: 5000

二,编写JWT工具类,实现token的生成和解析

import com.alibaba.fastjson.JSONObject;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.yx.analyze.demo.dto.UserLoginDTO;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.HashMap;
import java.util.Map;

/**
 * JWT工具类
 */
public class JWTUtil {

    private static final Logger logger = LoggerFactory.getLogger(JWTUtil.class);
    //私钥
    private static final String TOKEN_SECRET = "yyds_97";

    /**
     * 生成token,不设置过期时间(由redis进行管理)
     *
     * @param dto 用户登录信息
     * @return token
     */
    public static String generateToken(UserLoginDTO dto) {
        try {
            // 私钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // 设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("Type", "Jwt");
            header.put("alg", "HS256");
            //生成token但不设置过期时间
            return JWT.create()
                    .withHeader(header)
                    .withClaim("token", JSONObject.toJSONString(dto))
                    .sign(algorithm);
        } catch (Exception e) {
            logger.error("generate token occur error, error is: ", e);
            return null;
        }
    }

    /**
     * 转换token
     *
     * @param token token信息
     * @return 用户登录信息
     */
    public static UserLoginDTO parseToken(String token) {
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        String jsonStr = jwt.getClaim("token").asString();
        return JSONObject.parseObject(jsonStr, UserLoginDTO.class);
    }
}

三,编写redis组件来操作redis

import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Component;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import java.util.concurrent.TimeUnit;

/**
 * redis通用组件
 */
@Component
@Slf4j
public class RedisComponent {

    private ValueOperations<String, String> valueOperations;

    @Resource
    private RedisTemplate redisTemplate;

    @PostConstruct
    public void init() {
        StringRedisSerializer redisSerializer = new StringRedisSerializer();
        redisTemplate.setKeySerializer(redisSerializer);
        redisTemplate.setValueSerializer(redisSerializer);
        redisTemplate.setHashKeySerializer(redisSerializer);
        redisTemplate.setHashValueSerializer(redisSerializer);
        valueOperations = redisTemplate.opsForValue();
    }

    /**
     * 设置key-value,默认过期时间
     *
     * @param key   key值
     * @param value value值
     */
    public void set(String key, String value) {
        //30分钟的毫秒数
        long duration = 30 * 60 * 1000L;
        valueOperations.set(key, value, duration, TimeUnit.MILLISECONDS);
        log.info("key={}, value is: {} into redis cache", key, value);
    }

    /**
     * 设置key-value,自定义过期时间
     *
     * @param key      key值
     * @param value    value值
     * @param duration 过期时间,单位毫秒
     */
    public void set(String key, String value, long duration) {
        valueOperations.set(key, value, duration, TimeUnit.MILLISECONDS);
        log.info("key={}, value is: {},  duration is: {} into redis cache", key, value, duration);
    }

    /**
     * 根据key获取value
     *
     * @param key key值
     * @return value值
     */
    public String get(String key) {
        String redisValue = valueOperations.get(key);
        log.info("get from redis, value is: {}", redisValue);
        return redisValue;
    }

    /**
     * 根据key删除value
     *
     * @param key key值
     * @return 删除结果
     */
    public boolean delete(String key) {
        boolean result = redisTemplate.delete(key);
        log.info("delete from redis, key is: {}", key);
        return result;
    }

    /**
     * 根据key获取过期时间
     *
     * @param key key值
     * @return 过期时间
     */
    public Long getExpireTime(String key) {
        return valueOperations.getOperations().getExpire(key);
    }
}

四,全局异常处理简单拦截token相关异常

import cn.hutool.extra.tokenizer.TokenizerException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

/**
 * 全局异常处理
 */
@RestControllerAdvice
@Slf4j
public class ExceptionAdvice {

    @ExceptionHandler(value = TokenizerException.class)
    public String tokenizerExceptionHandler(TokenizerException e) {
        log.error("发生业务异常!原因是{}", e.getMessage());
        return e.getMessage();
    }

    @ExceptionHandler(value = TokenExpiredException.class)
    public String tokenExpiredExceptionHandler(TokenExpiredException e) {
        log.error("发生业务异常!原因是{}", e.getMessage());
        return e.getMessage();
    }

    /**
     * 处理其他异常
     *
     * @param e
     * @return
     */
    @ExceptionHandler(value = Exception.class)
    public String exceptionHandler(Exception e) {
        log.error("未知异常!原因是: ", e);
        return "系统内部异常!";
    }
}

五,设计拦截器,拦截系统的http请求并判断token是否过期,或者需要自动续期

import cn.hutool.extra.tokenizer.TokenizerException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.yx.analyze.demo.component.RedisComponent;
import com.yx.analyze.demo.dto.UserLoginDTO;
import com.yx.analyze.demo.utils.JWTUtil;
import lombok.AllArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * token拦截器
 */
@Component
@AllArgsConstructor
@Slf4j
public class TokenInterceptor implements HandlerInterceptor {

    private final RedisComponent redisComponent;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");
        if (StringUtils.isBlank(token)) {
            throw new TokenizerException("token is null");
        }
        UserLoginDTO dto = JWTUtil.parseToken(token);
        String userId = dto.getUserId();
        //请求是否有效
        if (redisComponent.get(userId) == null || !token.equals(redisComponent.get(userId))) {
            throw new TokenExpiredException("token expired");
        }
        //是否需要续期
        if (redisComponent.getExpireTime(userId) < 60 * 10) {
            redisComponent.set(userId, token);
            log.error("update token info, id is:{}, user info is:{}", userId, token);
        }
        return true;
    }
}
import com.yx.analyze.demo.interceptor.TokenInterceptor;
import lombok.AllArgsConstructor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 拦截器配置
 */
@Configuration
@AllArgsConstructor
public class InterceptorConfig implements WebMvcConfigurer {

    private final TokenInterceptor tokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenInterceptor)
                .excludePathPatterns("/loginOut/**")
                .excludePathPatterns("/login/**")
                .addPathPatterns("/**");
    }
}

六,编写controller简单测试下

import lombok.Data;

/**
 * 用户登录数据传输实体
 */
@Data
public class UserLoginDTO {
    private String userId;
    private String userName;
    private String password;
}
import com.yx.analyze.demo.component.RedisComponent;
import com.yx.analyze.demo.dto.UserLoginDTO;
import com.yx.analyze.demo.utils.JWTUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

/**
 * 用户接口控制器
 */
@RestController
public class UserController {

    @Autowired
    private RedisComponent redisComponent;

    @PostMapping("/login")
    public String login(@RequestBody UserLoginDTO dto) {
        //模拟查库判断账号密码是否匹配
        String userId = "2";
        boolean exist = false;
        if ("admin".equals(dto.getUserName()) && "123456".equals(dto.getPassword())) {
            exist = true;
            userId = "1";
        }
        if (!exist) {
            return "账号或密码错误";
        }
        dto.setPassword(null);
        dto.setUserId(userId);
        String token = JWTUtil.generateToken(dto);
        redisComponent.set(userId, token);
        return token;
    }

    @PostMapping("/loginOut")
    public String loginOut(@RequestBody UserLoginDTO dto) {
        //模拟查库判断账号是否匹配
        String userId = "2";
        if ("admin".equals(dto.getUserName())) {
            userId = "1";
        }
        boolean flag = redisComponent.delete(userId);
        return flag ? "登出成功" : "登出失败";
    }

    @PostMapping("/updatePassword")
    public String updatePassword(@RequestBody UserLoginDTO dto) {
        //模拟查库判断账号是否匹配
        String userId = "2";
        if ("admin".equals(dto.getUserName())) {
            userId = "1";
        }
        //TODO 修改库用户表中的密码
        dto.setUserId(userId);
        dto.setPassword(null);
        String token = JWTUtil.generateToken(dto);
        redisComponent.set(userId, token);
        return token;
    }

    @GetMapping("/index")
    public String index(HttpServletRequest request) {
        //模拟查库判断账号是否匹配
        String token = request.getHeader("Authorization");
        UserLoginDTO dto = JWTUtil.parseToken(token);
        if (dto == null) {
            return "非法用户";
        }
        return "欢迎:" + dto.getUserName();
    }
}

SpringBoot深入浅出系列】SpringBoot之集成JWT实现token验证
邓邓子的博客
02-23 2360
文章目录一、JWT 是什么?二、为什么使用 JWT?1.支持跨域访问2.无状态3.更适用CDN4.更适用于移动端5.无需考虑CSRF三、何使用 JWT?1.授权2.信息交换四、JWT 结构1.标头(header)2.有效载荷(payload)3.签名(Signature)五、创建项目集成 JWT 实现 token 验证1.项目说明2.创建 Spring Initializr 项目 jwt(1).添加依赖(2).添加配置(3).新建实体类 User(4).新建 JWT 工具类 JwtUtils(5).新建控
Spring Boot + Redis:实现Token登录授权、续期与主动终止的终极指南
java专栏
11-02 637
通过今天的介绍,相信你已经掌握了如何在Spring Boot项目中实现Token的登录授权、续期和主动终止功能。Redis的使用使得Token管理更加灵活和高效,希望这篇文章能够帮助你在未来的开发中更加得心应手。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
天行健,君子以自强不息;地势坤,君子以厚德载物。
03-10 1013
「万事开头难,视频号500粉直播需要你的助力!你的支持是我前进的动力!」作者:何甜甜在吗来源:juejin.cn/post/6932702419344162823过去这段间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了。今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧。技术...
三、JWT类型token自动续期
zcccc_的博客
01-15 843
每次访问接口经过过滤器的候去判断是否过期、是否需要延期,我们拟定一个“允许过期间”,跟据过期间去判断。(如果有好办法欢迎留言,共同学习。2.在 AuthorizeFilter 过滤器判断(拦截token验证的方法)1.在 JwtUtil 类加入新字段。
jwttoken自动约_关于JWTToken自动续期的解决方案
weixin_39811101的博客
12-21 584
Apple iPhone 11 (A2223) 128GB 黑色 移动联通电信4G手机 双卡双待4999元包邮去购买 >前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对toke...
SpringBoot+Redis】实现多端登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权(角色和权限校验)
weixin_43165220的博客
12-22 6801
SpringBoot+Redis】实现多端登录、防止重复登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权。将登录相关、退出、token相关的这些操作,全部抽出来,放到一个自定义的@Component组件中,在这里实现具体过程,其他地方我们不用关心实现步骤,只需要直接调用这里面的相关方法就行。鉴权相关将角色和角色对应的权限放到缓存中,每次请求在拦截器里从缓存中拿到角色和权限进行校验。
sptingboot + JWT实现token快过期自动续期功能
qq_43679365的博客
12-12 543
springboot+jwt+vue实现token快过期自动续期功能
每天一小步-JWT Token自动续期
qq_53924122的博客
07-24 1508
实现JWT(JSONWeb Tokens)生成Token自动续期
springboot整和jwt、shiro、redis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT的验证。在Realm中,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis的使用,我们需要配置一个...
jwttoken自动约_SpringSecurity Jwt Token 自动刷新的实现
weixin_39954569的博客
12-21 2188
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token自动延长要实现 token自动延...
jwttoken自动约_JWT(JSON Web Token)自动延长到期
weixin_39646084的博客
12-21 1324
JWT的刷新问题想对新REST API实施基于JWT的身份验证,但是令牌中设置了到期间,感觉使用不太方便,那么问题来了,是否可以自动延长这个过期间呢?如果用户频繁使用应用程序,就不希望用户每X分钟后需要重新登录。老是要用户登录,从用户体验的角度来说,肯定是非常糟糕的。但延长过期间会创建一个新的令牌(而且同旧的令牌仍然有效,直到它过期)。并且在每个请求之后生成一个新的令牌,感觉是比较愚蠢的做...
SpringBoot 实现 JWT token 自动续期
weixin_44421461的博客
01-18 2524
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
JWTToken自动续期和主动终止
热门推荐
desky的专栏
03-10 1万+
(1)JWT签问题和终止问题 JWT的优势在于无状态,也就是生成的Token中本身有存储信息(payload),所以不需要依赖Redis和DB。JWT本身也有有效期参与签名,问题在于这个有效期不能更改,也很好理解如果参与签名的参数(有效期)发生变化,Token也就不一样了。如果有效期不能改变,即便间设计的再长,也会有到期的候,而且Token这种设计初衷也不能有效期很长,导致用户在操作过程中Token到期授权失败,这种情况根本是无法接受的。 另外,JWTToken签发之后,理论上在到
使用JWT实现的登录控制,如何给token自动续期
m0_54187478的博客
01-24 1618
在使用JWT(JSON Web Tokens)进行身份验证自动续期通常是指在当前令牌即将过期自动发放一个新的令牌。
关于JWT Token 自动续期的解决方案
weixin_44742132的博客
09-28 5982
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
jwttoken自动约_关于 JWT Token 自动续期的解决方案
weixin_39811193的博客
12-21 610
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个 jwt token。前端(如 vue)在接收到 jwt token 后会将 token 存储到 LocalStorage 中。后每次请求都会将此 token 放在请求头中传递到后端服务,后端服务会有一个过滤器对 token 进行拦截校验,校验 token 是否过期,如果 token 过期则会让前端跳转到登录页面重新登录。因...
JWTtoken过期自动续期(无redis)
qq_1641486826的博客
01-19 8842
思路: 由于jwt中的token过期间是打包在token中的,用户登录以后发送给客户端以后token不能变化,那么要在用户无感知的情况下刷新token,就要在符合过期条件的情况下,在缓存一个新的token,作为token,再次解析不要解析客户端发送的token,要解析自己缓存的token 主要逻辑: 如果当前token没有超过过期间的两倍,续期,超过了重新登录 主要代码如下: package com.hongseng.app.config.jwtfilter; import enums.Tok
springboot 实现jwt token
最新发布
02-18
### Spring BootJWT Token 认证实现 #### 服务层获取 Bean 实例 为了在应用程序中使用特定的服务实例,可以利用 `SpringContextUtils` 来获得所需的服务组件。例如,在需要访问用户详情信息服务,可以通过如下方式取得该服务的一个实例[^1]。 ```java private YaUserDetailService yaUserDetailService(){ return SpringContextUtils.getBean(YaUserDetailService.class); } ``` #### 解码与验证 JWT Token 当接收到客户端发送过来带有令牌的请求后,服务器端需对接收的 JWT 进行解密和校验操作以确认其有效性。这一步骤通常借助于专门用于解析 JSON Web Tokens 的库完成: ```java DecodedJWT decodedjwt = jwtVerifier.verify(token); ``` 此过程不仅会检查签名的有效性还会验证过期间等属性确保安全性[^2]。 #### 数据库交互及权限控制逻辑构建 整个流程涉及到了数据库查询以及基于用户名检索用户的业务逻辑,并在此基础上创建了新的 token 并将其赋给查找到的对象实体。具体做法是在 service 层定义方法来执行这些任务,比如通过调用 Mapper 接口中的相应函数读取匹配记录之后再生成 token[^5]。 ```java @Override public User selectUserByUsername(User user) { User user1 = userMapper.selectUserByUsername(user); // 假设这里已经成功找到了对应的用户信息 // 使用 userId 和 password 创建一个新的 token String token = TokenUtils.createToken(String.valueOf(user1.getId()), user1.getPassword()); // 将新生成的 token 设置到返回的结果集中去 user1.setToken(token); return user1; } ``` #### 自定义异常处理机制和服务异常类设计 考虑到可能出现的各种意外情况,应该提前准备好一套完善的错误捕捉方案。为此引入了一个名为 `ServiceException` 的自定义运行异常类型,它允许开发者指定额外的状态码作为反馈的一部分提供给前端应用以便更好地理解发生了什么问题[^4]。 ```java package com.example.springboot.exception; import lombok.Getter; @Getter public class ServiceException extends RuntimeException{ private final String code; public ServiceException(String msg){ super(msg); this.code="500"; } public ServiceException(String code, String msg){ super(msg); this.code=code; } } ``` #### 配置全局拦截器增强安全防护能力 最后但同样重要的是设置好过滤链路使得每次 HTTP 请求都能经过必要的身份检验环节。一般来讲我们会注册一个或多个实现了 HandlerInterceptor 接口的新类至配置文件当中从而达到目的;同也可以考虑把一些通用的功能封装起来形成可重用模块降低重复劳动成本提高开发效率。 综上所述,上述几个方面共同构成了完整的 spring boot 应用程序内集成 jwt token 完成鉴权工作的解决方案框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值