基于JWT Token自动刷新机制维持长时间有效的美团开放平台访问凭证

最新推荐文章于 2025-12-27 15:45:53 发布
原创 最新推荐文章于 2025-12-27 15:45:53 发布 · 146 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

基于JWT Token自动刷新机制维持长时间有效的美团开放平台访问凭证

美团开放平台采用OAuth 2.0协议颁发短期Access Token(通常有效期2小时),并提供Refresh Token用于获取新凭证。然而在高可用系统中,若每次API调用都同步刷新Token,将引入性能瓶颈与竞态风险。本文基于baodanbao.com.cn.*包结构,设计一种基于JWT解析+后台预刷新的机制,在保证线程安全的前提下实现无缝凭证续期。

1. 美团Token结构与刷新逻辑

美团返回的Token响应示例:

{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx",
  "expires_in": 7200,
  "refresh_token": "rtk_abc123def456",
  "scope": "food.order"
}

其中access_token为JWT格式,可通过解析其Payload中的exp字段获知精确过期时间,避免依赖expires_in的估算误差。
在这里插入图片描述

2. Token信息封装类

package baodanbao.com.cn.model.token;

import java.time.Instant;

public class MeituanToken {
    private String accessToken;
    private String refreshToken;
    private long expireAt; // Unix timestamp

    public boolean isExpired() {
        return System.currentTimeMillis() >= expireAt * 1000;
    }

    public boolean isAboutToExpire(long bufferSeconds) {
        return System.currentTimeMillis() >= (expireAt - bufferSeconds) * 1000;
    }

    // getters and setters
}

3. JWT解析工具类

使用jjwt库解析exp

package baodanbao.com.cn.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JwtUtil {

    public static long getExpireAt(String jwtToken) {
        // 美团Token无签名验证需求,仅解析Payload
        Claims claims = Jwts.parserBuilder()
                .setAllowedClockSkewSeconds(30)
                .build()
                .parseClaimsJws(jwtToken)
                .getBody();
        return claims.getExpiration().toInstant().getEpochSecond();
    }
}

4. 线程安全的Token管理器

采用双重检查锁 + volatile 保证单例更新:

package baodanbao.com.cn.service.token;

import baodanbao.com.cn.model.token.MeituanToken;
import baodanbao.com.cn.util.JwtUtil;
import org.springframework.stereotype.Service;

@Service
public class MeituanTokenManager {

    private volatile MeituanToken currentToken;

    private final MeituanTokenClient tokenClient;

    public MeituanTokenManager(MeituanTokenClient tokenClient) {
        this.tokenClient = tokenClient;
    }

    public String getValidAccessToken() {
        MeituanToken token = currentToken;
        if (token == null || token.isAboutToExpire(300)) { // 提前5分钟刷新
            synchronized (this) {
                token = currentToken;
                if (token == null || token.isAboutToExpire(300)) {
                    refreshToken();
                    token = currentToken;
                }
            }
        }
        return token.getAccessToken();
    }

    private void refreshToken() {
        MeituanToken oldToken = currentToken;
        MeituanToken newToken;
        if (oldToken == null) {
            // 首次初始化:使用client_credential模式
            newToken = tokenClient.fetchTokenByClientCredential();
        } else {
            // 使用refresh_token续期
            newToken = tokenClient.refreshAccessToken(oldToken.getRefreshToken());
        }
        // 解析JWT获取精确过期时间
        long expireAt = JwtUtil.getExpireAt(newToken.getAccessToken());
        newToken.setExpireAt(expireAt);
        currentToken = newToken;
    }
}

5. Token客户端实现(调用美团接口)

package baodanbao.com.cn.service.token;

import baodanbao.com.cn.model.token.MeituanToken;
import org.springframework.http.*;
import org.springframework.stereotype.Component;
import org.springframework.util.LinkedMultiValueMap;
import org.springframework.util.MultiValueMap;
import org.springframework.web.client.RestTemplate;

@Component
public class MeituanTokenClient {

    private final RestTemplate restTemplate;
    private static final String TOKEN_URL = "https://openapi.meituan.com/oauth/access_token";

    public MeituanTokenClient(RestTemplate restTemplate) {
        this.restTemplate = restTemplate;
    }

    public MeituanToken fetchTokenByClientCredential() {
        MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
        params.add("grant_type", "client_credentials");
        params.add("client_id", "YOUR_APP_KEY");
        params.add("client_secret", "YOUR_APP_SECRET");
        return postForToken(params);
    }

    public MeituanToken refreshAccessToken(String refreshToken) {
        MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
        params.add("grant_type", "refresh_token");
        params.add("refresh_token", refreshToken);
        params.add("client_id", "YOUR_APP_KEY");
        params.add("client_secret", "YOUR_APP_SECRET");
        return postForToken(params);
    }

    private MeituanToken postForToken(MultiValueMap<String, String> params) {
        HttpHeaders headers = new HttpHeaders();
        headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
        HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(params, headers);

        ResponseEntity<MeituanToken> response = restTemplate.postForEntity(TOKEN_URL, request, MeituanToken.class);
        if (!response.getStatusCode().is2xxSuccessful()) {
            throw new RuntimeException("获取美团Token失败: " + response.getStatusCode());
        }
        return response.getBody();
    }
}

6. 在API调用中透明使用

package baodanbao.com.cn.service.meituan;

import baodanbao.com.cn.service.token.MeituanTokenManager;
import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseEntity;
import org.springframework.stereotype.Service;
import org.springframework.web.client.RestTemplate;

@Service
public class MeituanOrderService {

    private final RestTemplate restTemplate;
    private final MeituanTokenManager tokenManager;

    public MeituanOrderService(RestTemplate restTemplate, MeituanTokenManager tokenManager) {
        this.restTemplate = restTemplate;
        this.tokenManager = tokenManager;
    }

    public String queryOrder(String orderId) {
        String accessToken = tokenManager.getValidAccessToken();
        HttpHeaders headers = new HttpHeaders();
        headers.setBearerAuth(accessToken);
        HttpEntity<Void> entity = new HttpEntity<>(headers);

        ResponseEntity<String> resp = restTemplate.exchange(
            "https://openapi.meituan.com/v1/order/" + orderId,
            HttpMethod.GET, entity, String.class
        );
        return resp.getBody();
    }
}

7. 异常处理与降级

若刷新失败(如Refresh Token过期),应触发重新授权流程或告警,但不影响当前请求立即失败。可在refreshToken()中加入重试与日志:

try {
    newToken = tokenClient.refreshAccessToken(oldToken.getRefreshToken());
} catch (Exception e) {
    log.error("刷新美团Token失败,尝试重新授权", e);
    newToken = tokenClient.fetchTokenByClientCredential(); // 降级
}

本文著作权归吃喝不愁app开发者团队,转载请注明出处!

JWT登录过期-自动刷新token方案介绍
rdhj5566的专栏
07-14 1万+
在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在⽤户操作页⾯期间,突然提⽰登录,则体验很不友好,所以就有了token⾃动刷新需求。但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去中⼼化,⽆状态化,所以有所违背类似这样的业务,有阿⾥云⾸页,没有做token刷新令牌维护,但是符合对应的思想⽤户登录成功的时候,⼀次性给他两个Token,分别为AccessToken和RefreshTokenAccessToken有效期较短,
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 2803
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
JWT刷新token机制
chenxuefeng_accp的专栏
06-11 1283
本文介绍了JWT(JSON Web Token)的刷新机制及其实现方法。主要内容包括:为什么要使用RefreshToken,其与AccessToken的区别,安全建议以及具体代码实现。关键点在于通过短有效期的AccessToken和长有效期的RefreshToken组合,既保障安全性又提升用户体验。文章还提供了SpringBoot后端和Vue3前端的代码示例,并总结了自动续期流程和常见面试问题。实践建议包括将RefreshToken存储于服务器、使用HTTPS以及支持滑动过期等安全措施。
jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新
weixin_39785970的博客
12-01 2074
(给DotNet加星标,提升.Net技能)转自:FlyLolocnblogs.com/FlyLolo/p/ASPNETCore2_26.html本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录)一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的...
jwttoken自动续约_JWT token过期自动续期解决方案
weixin_39586915的博客
12-21 589
JWTJWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。tokentoken就是后端生成的JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证token过期刷新方案...
JWT双令牌认证实现无感Token自动续约
八戒的博客
08-25 1681
Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,服务端会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目,从而决定是否返回资源。通常有效时间通常较短。通常用户在获取资源的时候需要携带,当过期后,用户需要获取一个新的 AccessToken。这时候就需要了。用于获取新的。这样可以缩短。
【SpringBoot】JWT+TokenToken自动续期
低调做人,低调编码,神码都是浮云
05-31 1997
Springboot+jwt+token实现双token认证
JWT登录过期自动刷新方案与token泄漏解决方案
weixin_65059058的博客
09-13 8068
JWT登录过期自动刷新方案与token泄漏解决方案
小智音箱Token刷新机制保障会话安全
weixin_35238815的博客
11-09 922
本文深入解析小智音箱如何通过JWT与OAuth 2.0结合的Token刷新机制,在保障用户无感使用的同时实现高安全性。涵盖Access Token与Refresh Token的工作原理、安全存储、防篡改设计及实际应用场景,揭示智能设备背后的身份认证安全体系。
jwt+shiro+redis实现token自动刷新token的可控性
zhuzi的博客
08-17 7016
文章目录一、为何要使用jwt+shiro+redis二、AccessToken和RefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessToken及RefreshToken概念说明2-3. 关于Redis中保存RefreshToken信息(做到JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis和实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
点赞系统问题
amdkk的博客
12-26 799
​​:Spring Pulsar 提供的接口,允许通过customize方法深度定制消费者行为。批量接收策略配置。:控制批量消息接收策略maxNumMessages:单次批量拉取多少条信息timeout:超时后触发批量处理。NACK重试策略当消费者调用时触发重试。:消息重投递的退避策略接口。.minDelayMs(1000) // 初始延迟 1 秒 .maxDelayMs(60000) // 最大延迟 60 秒 .multiplier(2) // 指数退避倍数。
电子书《Java编程思想(第4版)》
吴名氏的博客
12-23 6005
电子书《Java编程思想(第4版)》
计算机毕业设计|基于springboot + vue健康茶饮销售管理系统(源码+数据库+文档)
12-24 861
本文介绍了基于SpringBoot+Vue的健康茶饮销售管理系统开发。系统采用前后端分离架构,后端使用SpringBoot框架简化配置,前端采用Vue实现组件化开发,数据库选用MySQL。文章详细说明了系统设计原则、技术选型理由,并提供了代码示例和测试案例。系统功能完整,包含商品管理、用户认证等模块,通过严格测试确保安全性。文末附有源码获取方式和最新毕设选题推荐,适合作为计算机专业学生的项目参考。
抽象类和接口的区别
最新发布
tryxr的博客
12-27 603
本文对比了Java中接口(Interface)与抽象类(AbstractClass)的8个核心区别。主要差异包括:抽象类使用abstract class定义,支持单继承,可包含实例字段和构造器,体现"is-a"关系;接口使用interface定义,允许多实现,仅包含常量,体现"can-do"能力。抽象类适合共享代码和状态,接口适合定义跨类能力。建议优先使用接口定义能力,仅在需要共享状态或实现模板方法时使用抽象类,并考虑组合优于继承。二者可结合使用,如Shape抽象类实
通过adb命令获取某个window或View/子View的绘制内容并输出为png图片的方法
Railshiqian的博客
12-23 971
本文介绍了通过adb工具获取Android系统Window和View结构的方法。首先需要建立adb与ViewServer的连接(端口4939),然后通过"LIST"命令获取可dump的窗口列表,再使用"DUMP [窗口ID]"命令查看指定窗口的View树结构。该方法可帮助开发者分析应用界面问题,替代已废弃的Hierarchy View工具。示例展示了如何获取系统导航栏TopCarSystemBar的View层级信息,包括ViewGroup的各种属性和状态。
mybatis-plus插件解决sql报错:this is incompatible with sql_mode=only_full_group_by ”
吉他程序员的博客
12-23 263
解决的办法可以改sql,也可以改sql服务的conf配置, 但是如果你项目用的是mybatis-plus插件 , 就可以用我介绍的很简单的方法。是 MySQL 的严格模式要求,确保 GROUP BY 查询的语义明确。这个错误是 MySQL 5.7+ 版本中最常见的兼容性问题之一。SELECT 列表中的列不在 GROUP BY 子句中。MySQL 无法确定从分组中的哪行返回这些列的值。且这些列也不是聚合函数的参数。然后重启项目就可以了。
spring boot 运行测试类时:Error creating bean with name ‘serverEndpointExporter‘ 问题
csdndd521的博客
12-26 106
这个在Websocket中,注入不进去,单元测试时报错。直接在@SpringBootTest加入。
Java中的序列化和反序列化是什么?
qq_44678890的博客
12-24 268
比如,如果在没有定义一个serialVersionUID的前提下,接着序列化一个对象,在反序列化之前,在对象中增加了一个成员变量使得对象的类结构发生了改变,这个时候进行反序列化就会失败。至于怎么防,如果有些像密码这种的字段,它不想被保存下来,我们可以通过加上一个transient关键字,这样的话,序列化的时候就会自动跳过这些字段。,由于硬盘和网络都只认识二进制的0和1,不认识Java对象,所以必须进行转换,把二进制的数据变回内存中的对象。这3个问题面试官比较喜欢问。在具体的实现细节上,有。
Java】反射机制
2501_91676654的博客
12-27 1010
Java反射机制是在运行时动态获取类信息并操作对象的机制,其核心功能包括获取类元数据、动态创建实例、调用方法和访问属性等。反射通过java.lang.reflect包和Class类实现,主要步骤包括获取Class对象、获取成员对象、突破访问权限和执行操作。获取Class对象有三种方式:类名.class、对象.getClass()和Class.forName()。反射在框架开发、动态代理和注解处理等场景中广泛应用,但存在性能损耗、破坏封装等缺点。优化反射性能可通过缓存反射对象、减少setAccessible调
token刷新机制jwt
03-26
### JWT Token 刷新机制实现及其最佳实践 JSON Web Tokens (JWTs) 是一种广泛使用的标准,用于安全传输信息作为 JSON 对象。为了处理访问令牌的有效期问题并增强安全性,通常会引入刷新令牌(Refresh Token)。以下是关于如何实现 JWT 的刷新机制以及一些最佳实践。 #### 实现 JWT Refresh Mechanism 1. **双令牌体系结构** 使用两个独立的令牌:一个是短期有效访问令牌(Access Token),另一个是长期有效或具有较长时间窗口的刷新令牌(Refresh Token)。当访问令牌过期时,客户端可以使用刷新令牌请求新的访问令牌[^1]。 2. **刷新流程描述** 客户端向服务器发送带有刷新令牌的 HTTP 请求到特定的 `/refresh` 或类似的端点。如果验证通过,则返回一个新的访问令牌和可能更新后的刷新令牌[^2]。 3. **存储方式** - 访问令牌可以直接保存在内存中或者本地存储里。 - 刷新令牌建议更安全地存放在 HttpOnly Cookie 中或其他受保护的地方以防止 XSS 攻击[^4]。 #### 最佳实践 1. **设置合理的生命周期** - 短期内允许访问资源的访问令牌应保持短寿命(几分钟至几小时之间)。 - 长时间存在的刷新令牌则需谨慎设定有效期,并定期轮换其值以防泄露风险增加。 2. **加强刷新令牌的安全措施** - 黑名单/撤销列表管理已注销或被盗取的刷新令牌实例。 - 增加额外的身份验证因子如设备指纹识别来确认发起者身份的真实性。 3. **采用 HTTPS 协议通信** 所有涉及敏感数据交换的过程都必须加密传输渠道以免被中间人窃听截获重要凭证信息. ```javascript // Example Code Snippet for refreshing token using Node.js & Express framework. const express = require('express'); const jwt = require('jsonwebtoken'); let app = express(); app.post('/auth/token', function(req, res){ const refreshToken = req.body.token; if (!isValidRefreshToken(refreshToken)) { return res.sendStatus(403); // Forbidden } try{ let payload = verifyAndDecode(refreshToken); var newAccessToken = generateNewAccessToken(payload); res.json({accessToken:newAccessToken}); }catch(err){ console.error("Error during token refresh:", err.message); res.status(500).send(); } }); function isValidRefreshToken(token){ /* Implementation */ }; function verifyAndDecode(token){ /* Implementation */}; function generateNewAccessToken(data){/*Implementation*/}; module.exports=app; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值