JWT双令牌认证实现无感Token自动续约

一、JWT概念

JSON Web Token (JWT)是一个开放标准(RFC 7519) ，它定义了一种紧凑和自包含的方式，用于作为 JSON 对象在各方之间安全地传输信息。此信息可以进行验证和信任，因为它是经过数字签名的。JWT 可以使用机密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。
虽然可以对 JWT 进行加密，以便在各方之间提供保密性，但是我们将关注已签名的Token。签名Token可以验证其中包含的声明的完整性，而加密Token可以向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时，该签名还证明只有持有私钥的一方才是对其进行签名的一方( 签名技术是保证传输的信息不可抵赖,并不能保证信息传输的安全 )
官网地址：https://jwt.io

二、JWT 原理

JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。

{
  "姓名": "开源技术小栈",
  "角色": "管理员",
  "到期时间": "2028年12月11日0点0分"
}

以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。
服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。

三、JWT 数据结构

编码后的数据结构

它是一个很长的字符串，中间用点（.）分隔成三个部分。注意，JWT 内部是没有换行的，这里只是为了便于展示，将它写成了几行。JWT 的三个部分依次如下

Header（头部）
Payload（负载）
Signature（签名）

写成一行，就是下面的样子。Header.Payload.Signature

三、JWT 认证流程

认证流程流程说明：
1、浏览器发起请求登陆，用户携带用户名和密码等了
2、服务端验证身份，根据算法，将用户标识符打包生成 Token,
3、服务器返回JWT信息给浏览器，JWT不包含敏感信息
4、浏览器发起请求获取用户资料，把刚刚拿到的 Token一起发送给服务
5、器服务器发现数据中有 Token，验证身份是否合法
6、服务器根据当前Token解析返回该用户的用户资料

双令牌解决方案

在前后端分离的开发模式下，前端用户登录成功后后端服务会给用户颁发一个JWT的access_token。前端在接收到JWT的access_token后会将access_token存储到浏览器LocalStorage中。
后续每次请求都会将此access_token放在请求头中传递到后端服务，后端服务会有一个过滤器对access_token进行拦截校验，校验access_token是否过期，如果access_token过期则会让前端跳转到登录页面重新登录。因为JWT的access_token中一般会包含用户的基础信息，为了保证JWT的access_token的安全性，一般会将JWT的access_token的过期时间设置的比较短。
但是这样又会导致前端用户需要频繁登录（access_token过期）