在 Java 项目中实现 JWT 双签发认证(即同时生成 Access Token 和 Refresh Token),核心流程包括 登录时双 Token 生成、Token 过期时的刷新逻辑以及 Token 的存储与验证。以下是结合上述代码的详细实现步骤和关键逻辑说明:
一、登录时生成双 Token
1. 登录接口逻辑
用户提交用户名和密码后,服务端验证凭证有效性。若验证通过,调用 JwtUtil 生成 Access Token 和 Refresh Token,并返回给客户端。
@RestController
@RequestMapping("/api/auth")
public class AuthController {
private final UserService userService;
private final JwtUtil jwtUtil;
@PostMapping("/login")
public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest request) {
// 1. 验证用户名和密码
User user = userService.authenticate(request.getUsername(), request.getPassword());
if (user == null) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
// 2. 生成双 Token
String accessToken = jwtUtil.generateAccessToken(user.getUsername(), user.getRoles());
String refreshToken = jwtUtil.generateRefreshToken(user.getUsername());
// 3. 返回 Token(示例:以 JSON 格式返回)
Map<String, String> tokenMap = new HashMap<>();
tokenMap.put("accessToken", accessToken);
tokenMap.put("refreshToken", refreshToken);
return ResponseEntity.ok(tokenMap);
}
}
2. JwtUtil 中的双 Token 生成逻辑
- Access Token:包含用户角色和权限信息,有效期短(如 15 分钟)。
- Refresh Token:仅包含用户身份(用户名),有效期长(如 7 天),用于刷新 Access Token。
@Component
public class JwtUtil {
// 省略已定义的常量和工具方法...
// 生成 Access Token(包含角色信息)
public String generateAccessToken(String username, String roles) {
Map<String, Object> claims = new HashMap<>();
claims.put("roles", roles); // 将角色信息存入 Claims
return createToken(claims, username, ACCESS_TOKEN_VALIDITY);
}
// 生成 Refresh Token(仅包含用户身份,无权限信息)
public String generateRefreshToken(String username) {
return createToken(new HashMap<>(), username, REFRESH_TOKEN_VALIDITY); // 空 Claims,仅存储 subject(用户名)
}
}
二、Access Token 过期时的刷新逻辑
1. 刷新 Token 的接口设计
当客户端检测到 Access Token 过期时,携带 Refresh Token 调用刷新接口,获取新的 Access Token(可选:同时刷新 Refresh Token)。
@PostMapping("/refresh-token")
public ResponseEntity<Map<String, String>> refreshToken(@RequestHeader("Refresh-Token") String refreshToken) {
// 1. 验证 Refresh Token 有效性
if (!jwtUtil.validateToken(refreshToken)) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
// 2. 从 Refresh Token 中获取用户名
String username = jwtUtil.getUsernameFromToken(refreshToken);
// 3. 查询用户信息(获取角色等权限信息)
User user = userService.getUserByUsername(username);
if (user == null) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
// 4. 生成新的 Access Token(可选:生成新的 Refresh Token)
String newAccessToken = jwtUtil.generateAccessToken(username, user.getRoles());
String newRefreshToken = jwtUtil.generateRefreshToken(username); // 可选:每次刷新时更换 Refresh Token
// 5. 返回新 Token(示例:仅返回新 Access Token,或同时返回新 Refresh Token)
Map<String, String> newTokenMap = new HashMap<>();
newTokenMap.put("accessToken", newAccessToken);
newTokenMap.put("refreshToken", newRefreshToken); // 可选
return ResponseEntity.ok(newTokenMap);
}
2. 刷新策略说明
-
是否刷新 Refresh Token:
- 不刷新:Refresh Token 有效期内可重复使用(简单但存在安全风险,若 Refresh Token 泄露,攻击者可长期使用)。
- 刷新:每次调用刷新接口时生成新的 Refresh Token(需在数据库或缓存中维护 Refresh Token 的有效性,例如存储每个用户的最新 Refresh Token)。
推荐方案:每次刷新时生成新的 Refresh Token,并在服务端维护一个 Refresh Token 黑名单 或 用户当前有效 Refresh Token,防止旧 Token 被滥用。
三、Token 的存储与传输
1. 客户端存储方式
- Access Token:通常存储在内存(如 Vuex/Redux)或
LocalStorage中,用于每次请求的 Authorization 头。 - Refresh Token:为增强安全性,建议存储在 HttpOnly Cookie 中,避免 XSS 攻击。若无法使用 Cookie,可存储在安全的客户端存储中(如加密的
LocalStorage),但需注意 CSRF 防护。
2. 请求头携带方式
Authorization: Bearer <Access Token>
Refresh-Token: <Refresh Token> // 刷新接口使用
四、安全增强措施
1. Refresh Token 黑名单
- 场景:用户登出、Refresh Token 泄露时,需立即失效旧 Token。
- 实现:使用 Redis 缓存存储已失效的 Refresh Token,设置与 Refresh Token 相同的过期时间。刷新接口中先检查 Token 是否在黑名单中。
// 登出时将 Refresh Token 加入黑名单
@PostMapping("/logout")
public ResponseEntity<Void> logout(@RequestHeader("Refresh-Token") String refreshToken) {
redisTemplate.opsForValue().set("blacklist:" + refreshToken, "invalid", REFRESH_TOKEN_VALIDITY, TimeUnit.MILLISECONDS);
return ResponseEntity.ok().build();
}
// 刷新接口中检查黑名单
public boolean isRefreshTokenBlacklisted(String refreshToken) {
return redisTemplate.hasKey("blacklist:" + refreshToken);
}
2. 设备标识绑定
为每个用户会话生成唯一的设备标识(如 UUID),存储在 Refresh Token 的 Claims 中,并在服务端关联用户和设备标识。刷新时验证设备标识是否匹配,防止跨设备伪造。
// 登录时生成设备标识
String deviceId = UUID.randomUUID().toString();
claims.put("deviceId", deviceId); // 存入 Refresh Token 的 Claims
// 刷新时验证设备标识
String storedDeviceId = (String) getAllClaimsFromToken(refreshToken).get("deviceId");
if (!storedDeviceId.equals(user.getCurrentDeviceId())) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
五、结合 RBAC 的权限控制
在 Spring Security 的配置中,通过 hasRole 或 hasAuthority 方法校验 Access Token 中的角色信息,实现 RBAC 权限控制(如上述代码中的 SecurityConfig)。
// SecurityConfig 中配置角色权限
.antMatchers("/api/admin/**").hasRole("ADMIN") // 要求角色为 ADMIN
.antMatchers("/api/user/**").hasAnyRole("ADMIN", "USER") // 要求角色为 ADMIN 或 USER
总结:双签发认证核心流程
- 登录:验证用户凭证 → 生成 Access Token(含角色)和 Refresh Token(含用户身份)→ 返回客户端。
- 正常请求:客户端携带 Access Token → 服务端验证有效性 → 校验角色权限 → 允许访问。
- Token 过期:客户端携带 Refresh Token → 服务端验证有效性 → 生成新的 Access Token(可选新 Refresh Token)→ 返回客户端。
- 安全防护:通过 HttpOnly Cookie、黑名单、设备绑定等机制增强 Token 安全性。
通过以上步骤,可在 Java 项目中实现基于 JWT 的双签发认证,并结合 RBAC 实现细粒度权限控制。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
