jwt的token如何刷新?

最新推荐文章于 2025-06-11 15:48:01 发布
原创 最新推荐文章于 2025-06-11 15:48:01 发布 · 5.1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #缓存 #java

如何刷新令牌

1、为什么要刷新Token的过期时间?

Token都有过期时间。那么问题来了,假设Token过期时间为15天,用户在第14天的时候,还可以免登录正常访问系统。但是到了第15天,用户的Token过期,于是用户需要重新登录系统。

HttpSession的过期时间比较优雅,默认为15分钟。如果用户连续使用系统,只要间隔时间不超过15分钟,系统就不会销毁HttpSession对象。JWT的令牌过期时间能不能做成HttpSession那样超时时间,只要用户间隔操作时间不超过15天,系统就不需要用户重新登录系统。实现这种效果的方案有两种:双TokenToken缓存,这里重点讲一下Token缓存方案。
在这里插入图片描述
Token缓存方案是把Token缓存到Redis,然后设置Redis里面缓存的Token过期时间为正常Token的1倍,然后根据情况刷新Token的过期时间。

1、Token失效,缓存也不存在的情况

当第15天,用户的Token失效以后,我们让Shiro程序到Redis查看是否存在缓存的Token,如果这个Token不存在于Redis里面,就说明用户的操作间隔了15天,需要重新登录。

2、Token失效,但是缓存还存在的情况

如果Redis中存在缓存的Token,说明当前Token失效后,间隔时间还没有超过15天,不应该让用户重新登录。所以要生成新的Token返回给客户端,并且把这个Token缓存到Redis里面,这种操作成为刷新Token过期时间。

2、客户端如何更新令牌?

在我们的方案中,服务端刷新Token过期时间,其实就是生成一个新的Token给客户端。那么客户端怎么知道这次响应带回来的Token是更新过的呢?这个问题很容易解决。
在这里插入图片描述

只要用户成功登陆系统,当后端服务器更新Token的时候,就在响应中添加Token。客户端那边判断每次Ajax响应里面是否包含Token,如果包含,就把Token保存起来就可以了。

3、如何在响应中添加令牌?

img
我们定义OAuth2Filter类拦截所有的HTTP请求,一方面它会把请求中的Token字符串提取出来,封装成对象交给Shiro框架;另一方面,它会检查Token的有效性。如果Token过期,那么会生成新的Token,分别存储在ThreadLocalTokenRedis中。

之所以要把新令牌保存到ThreadLocalToken里面,是因为要向AOP切面类传递这个新令牌。虽然OAuth2Filter中有doFilterInternal()方法,我们可以得到响应并且写入新令牌。但是这个做非常麻烦,首先我们要通过IO流读取响应中的数据,然后还要把数据解析成JSON对象,最后再放入这个新令牌。如果我们定义了AOP切面类,拦截所有Web方法返回的R对象,然后在R对象里面添加新令牌,这多简单啊。但是OAuth2FilterAOP切面类之间没有调用关系,所以我们很难把新令牌传给AOP切面类

这里我想到了ThreadLocal,只要是同一个线程,往ThreadLocal里面写入数据和读取数据是完全相同的。在Web项目中,从OAuth2FilterAOP切面类,都是由同一个线程来执行的,中途不会更换线程。所以我们可以放心的把新令牌保存都在ThreadLocal里面,AOP切面类可以成功的取出新令牌,然后往R对象里面添加新令牌即可。

ThreadLocalToken是我自定义的类,里面包含了ThreadLocal类型的变量,可以用来保存线程安全的数据,而且避免了使用线程锁。

如果以上有疑问,可以在评论区进行交流沟通。
如果以上有帮助,点个关注,相互交流,共同进步。

JWT】Asp.Net Core中JWT刷新Token解决方案
德仔
11-06 1283
1.关于JWTToken过期问题,到底设置多久过期?(1).有的人设置过期时间很长,比如一个月,甚至更长,等到过期了退回登录页面,重新登录重新获取token,期间登录的时候也是重新获取token,然后过期时间又重置为了1个月。这样一旦token被人截取,就可能被人长期使用,如果你想禁止,只能修改token颁发的密钥,这样就会导致所有token都失效,显然不太可取。(2).有的人设置比较短,比如10分钟,在使用过程中,一旦过期也是退回登录页面,这样就可能使用过程中经常退回登录页面,体验很不好。
JWT 过期后 自动刷新方案
qq_56694800的博客
11-15 3420
JWT(JSON Web Token)广泛应用于现代 Web 开发中的认证与授权,它以无状态、灵活和高效的特点深受开发者欢迎。然而,JWT 的一个核心问题是。在实际开发中,可以结合业务需求和技术条件选择最适合的方案,甚至进行多方案组合,实现性能与安全的平衡。本文将总结常见的解决方案,分析其优缺点,并帮助开发者选择适合自己项目的方案。
token过期自动续费方案和实现
想吃凤梨酥的博客
06-18 4544
方案1: 每一次请求都进行重新生成一个新的token【频率过高,性能不好】方案2: 每次登录的时候生成两个token给前端进行返回,一个是用于鉴别用户身份的token,另外一个token则是用于刷新token用的方案3: 登录过后给前端进行返回token并设置了过期时间30分钟,每次请求的时候前端把token存在请求头里面进行发请求,后端接收请求的时候获取请求头出来进行jwt解析判断过期时间是否小于10分钟,如果小于10分钟就生成新的token在responseHearde进行返回即可实现过程:控制器里 过
微服务jwt登录过期解决方案
酷毙了耶的博客
01-06 9176
好长时间没有上来写博客了,想你们了都有点 ,????,近期一直在忙这搭建微服务架构,为一个app提供稳定服务而忙碌,从而在搭建的过程中,遇到了jwt过期以及,恶意刷新jwt的问题,今天主要是针对这两个问题展开教程.话不多说,先说一下什么是jwt ...
关于token无痛刷新的两个方案
Yugoup的博客
04-25 2593
目录方案一方案二 方案一 思路: 后端需要返回一个token过期的时间,在请求发起前拦截每个请求,判断token的有效时间是否已经过期,如果已过期,则暂时将请求挂起,先刷新token后再继续请求。 前期思考: 返回过期时间是为了判断是否过期的,但是如果服务器时间和系统时间不一致呢? 如果同时发起多个请求时怎么办? 实现: 因为是在请求前进行拦截,所以这里用axios的axios.interceptors.request.use()方法 首先,关于服务器时间和系统时间不一致的问题,我的解决方法是:
JWT Token刷新方案
热门推荐
风毅逝的博客
01-22 4万+
JWT TOKEN刷新方案 环境 Springboot,Redis 需求 由于是前后端分离的项目,需要使用JWT Token来校验用户信息,保证用户信息安全可靠,不会被重放攻击。 问题 JWT Token如不设置有效期,刷新周期,他人一旦拿到Token就可以模拟重复访问,非常不安全。因此这就需要Token的生命周期尽可能不要太久,这就牵扯到如何刷新Token的问题。 解决方案 设计思路 Token...
JWT鉴权中心 实现鉴权授权 刷新Token
yiyang1208的博客
12-05 1908
JWT鉴权授权 .net
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
JWT Token生成及验证
07-16
7. **刷新Token策略**:为了避免JWT长期有效带来的风险,通常会配合使用刷新Token(Refresh Token)。当JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常...
koa+jwt实现token验证与刷新功能
10-16
这通常涉及到两个JWT:一个访问令牌(Access Token)用于短期认证,另一个刷新令牌(Refresh Token)用于长期存储,当访问令牌过期时,用户可以使用刷新令牌获取新的访问令牌,而无需重新登录。 ```javascript app....
JWT刷新token机制
chenxuefeng_accp的专栏
06-11 1245
本文介绍了JWT(JSON Web Token)的刷新机制及其实现方法。主要内容包括:为什么要使用RefreshToken,其与AccessToken的区别,安全建议以及具体代码实现。关键点在于通过短有效期的AccessToken和长有效期的RefreshToken组合,既保障安全性又提升用户体验。文章还提供了SpringBoot后端和Vue3前端的代码示例,并总结了自动续期流程和常见面试问题。实践建议包括将RefreshToken存储于服务器、使用HTTPS以及支持滑动过期等安全措施。
使用JWT生成Token,并实现Token刷新API
Shallow的博客
12-30 6429
一、背景 传统的网站用户认证方式严重依赖于 Cookie 。但 很多 项目是一个前后端分离的项目,我们希望前端界面的实现不受 项目API 的影响,这就要求 用户认证没有 Cookie 时也能进行。其实仔细想想,用户的认证鉴权,无非就是在访问 API 时发送一个能够识别出用户的字符串给服务端,然后服务端基于字符串查找出用户,再判断用户是否有权限使用 API 。这串字符串,我们可以将其称之为 Token。由于 rmon 的所有 API 都是基于 HTTP 协议的,而在 HTTP 协议中有一个 Authoriz
Jwt Token刷新机制设计
dotNET跨平台
03-21 2398
Jwt Token刷新机制设计Intro前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 t...
JWT登录过期-自动刷新token方案介绍
weixin_42397937的博客
08-14 1万+
JWT登录过期-自动刷新token方案介绍前言方案一、前端控制检测token,无感知刷新刷新方案核心逻辑疑问:RefreshToken有效期那么长,和直接将AccessToken的有效期延长有什么区别缺点:优点:方案二、后端存储判断过期时间优点:缺点:总结 前言 在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在用户操作页面期间,突然提示登录,则体验很不友好,所以就有了token自动刷新需求。 但是这个自动刷新方案,基本都离不开服务端状.
Java实战:实现JWT刷新令牌机制
oandy0的博客
02-25 3228
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
token超时刷新策略
bieber007的博客
09-14 4118
需求分析 我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token刷新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
JWT+双token实现无感刷新
MogulNemenis的博客
09-25 1106
通过 JWT + 双 Token 实现无感刷新,可以提高系统的安全性,并且提升用户体验,减少频繁登录的麻烦。用于快速鉴权,有效期短;用于刷新,有效期长,使用频率低;前端通过拦截响应中的 401 错误,实现无感刷新
如何刷新 JWTtoken
最新发布
07-10
在使用 JWT(JSON Web Token)进行身份验证时,token 通常是有时效性的(如 1 小时),为了避免用户频繁登录,需要实现 token 的**刷新机制**。通常的做法是引入一个**refresh token**,它具有更长的有效期,并用于获取新的 access token。 --- ## 刷新 JWT Token 的流程 ### 步骤如下: 1. **用户登录成功**后,服务端返回: - `access_token`(短时效) - `refresh_token`(长时效) 2. 前端将这两个 token 存储起来(例如:`localStorage` 或 `httpOnly cookie`)。 3. 当 `access_token` 过期后,前端携带 `refresh_token` 请求刷新接口。 4. 后端验证 `refresh_token` 是否有效: - 如果有效,生成新的 `access_token` 返回。 - 如果无效(如过期、被篡改),要求用户重新登录。 5. 用户继续访问受保护资源。 --- ## 示例代码(Node.js + Express) ### 安装依赖 ```bash npm install express jsonwebtoken body-parser cookie-parser ``` ### 后端代码 ```javascript const express = require('express'); const jwt = require('jsonwebtoken'); const bodyParser = require('body-parser'); const cookieParser = require('cookie-parser'); const app = express(); app.use(bodyParser.json()); app.use(cookieParser()); const ACCESS_SECRET = 'access-secret-key'; const REFRESH_SECRET = 'refresh-secret-key'; // 模拟数据库存储 refresh tokens let refreshTokens = []; // 登录接口:生成 access token 和 refresh token app.post('/login', (req, res) => { const { username, password } = req.body; // 实际应查库验证用户名密码 if (username !== 'user' || password !== 'pass') { return res.status(400).json({ message: 'Invalid credentials' }); } const accessToken = jwt.sign({ username }, ACCESS_SECRET, { expiresIn: '15s' }); // 短时效 const refreshToken = jwt.sign({ username }, REFRESH_SECRET, { expiresIn: '7d' }); refreshTokens.push(refreshToken); res.cookie('refreshToken', refreshToken, { httpOnly: true, maxAge: 7 * 24 * 60 * 60 * 1000 }); // 7天 res.json({ accessToken }); }); // 刷新 token 接口 app.post('/refresh-token', (req, res) => { const refreshToken = req.cookies.refreshToken; if (!refreshToken) return res.sendStatus(401); if (!refreshTokens.includes(refreshToken)) return res.sendStatus(403); jwt.verify(refreshToken, REFRESH_SECRET, (err, user) => { if (err) return res.sendStatus(403); const accessToken = jwt.sign({ username: user.username }, ACCESS_SECRET, { expiresIn: '15s' }); res.json({ accessToken }); }); }); // 注销接口:移除 refresh token app.post('/logout', (req, res) => { const refreshToken = req.cookies.refreshToken; refreshTokens = refreshTokens.filter(t => t !== refreshToken); res.clearCookie('refreshToken'); res.json({ message: 'Logged out' }); }); app.listen(3000, () => console.log('Server running on port 3000')); ``` ### 前端调用示例(JavaScript fetch) ```javascript async function login() { const res = await fetch('http://localhost:3000/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username: 'user', password: 'pass' }) }); const data = await res.json(); localStorage.setItem('accessToken', data.accessToken); } async function getProtectedResource() { let token = localStorage.getItem('accessToken'); try { const res = await fetch('http://localhost:3000/protected', { headers: { Authorization: `Bearer ${token}` } }); if (res.status === 403) { // access token 失效,尝试刷新 const refreshRes = await fetch('http://localhost:3000/refresh-token', { method: 'POST', credentials: 'include' }); if (!refreshRes.ok) throw new Error('Refresh failed'); const newToken = await refreshRes.json(); localStorage.setItem('accessToken', newToken.accessToken); token = newToken.accessToken; // 再次尝试请求 const retryRes = await fetch('http://localhost:3000/protected', { headers: { Authorization: `Bearer ${token}` } }); const retryData = await retryRes.json(); console.log(retryData); } else { const data = await res.json(); console.log(data); } } catch (error) { console.error(error); } } ``` --- ## 解释说明: - `refresh token` 一般通过 `httpOnly cookie` 存储,防止 XSS 攻击。 - `access token` 是短期的,避免长时间暴露。 - 使用数组 `refreshTokens` 来管理有效的 refresh token,实际应用中建议使用 Redis 等持久化方式。 - 登出时需从列表中删除 refresh token,以保证安全性。 --- ##
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

loongloongz

相互鼓励,相互帮助,共同进步。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值