JAVA开发(token过期续期)

原创 已于 2022-12-14 16:41:26 修改 · 4.9k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2022-12-13 15:21:39 首次发布
本文介绍了一种通过refresh_token自动刷新token的方法,避免了因token过期而导致的频繁重新登录现象。同时提供了Java环境下JWTUtil工具类的实现源码,并展示了如何在后端通过过滤器验证token的有效性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、需求背景:

        在使用token进行登录的过程中,如果token过期了,需要重新输入用户名和密码登录,这种体验肯定是不好的,因为如果一直在使用系统,系统应该一直能够保持登录状态,而不是用着用着就突然退出系统重新登录。

二、解决方法:

生成token的接口需要提供,token和刷新的refresh_token ,过期时间。当时间快过期时,重新调用后端接口去获取新的token。

token:包含了凭证相关信息(过期时间相对refresh_token短)

refresh_token:包含凭证相关信息(过期时间相对token长)

过期时间:给客户端计算何时需要使用refresh_token来换取新的token

生成token参照,里面在加上 refresh_token和过期时间就可以。

JAVA开发(JWTUtil工具类实现token源码赏析)_茅河野人的博客-CSDN博客

三、后端验证token的示例:

既可以通过过滤器,也可以使用拦截器来拦截。

import javax.annotation.Resource;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBufferFactory;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.ruoyi.common.core.constant.CacheConstants;
import com.ruoyi.common.core.constant.Constants;
import com.ruoyi.common.core.domain.R;
import com.ruoyi.common.core.utils.StringUtils;
import com.ruoyi.common.redis.service.RedisService;
import com.ruoyi.gateway.config.properties.IgnoreWhiteProperties;
import reactor.core.publisher.Mono;

/**
 * 网关鉴权
 */
@Component
public class AuthFilter implements GlobalFilter, Ordered
{
    private static final Logger log = LoggerFactory.getLogger(AuthFilter.class);
    
    private final static long EXPIRE_TIME = Constants.TOKEN_EXPIRE * 60;

    // 排除过滤的 uri 地址,nacos自行添加
    @Autowired
    private IgnoreWhiteProperties ignoreWhite;

    @Resource(name = "stringRedisTemplate")
    private ValueOperations<String, String> sops;
    
    @Autowired
    private RedisService redisService;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain)
    {
        String url = exchange.getRequest().getURI().getPath();
        // 跳过不需要验证的路径
        if (StringUtils.matches(url, ignoreWhite.getWhites()))
        {
            return chain.filter(exchange);
        }
        String token = getToken(exchange.getRequest());
        if (StringUtils.isBlank(token))
        {
            return setUnauthorizedResponse(exchange, "令牌不能为空");
        }
        String userStr = sops.get(getTokenKey(token));
        if (StringUtils.isNull(userStr))
        {
            return setUnauthorizedResponse(exchange, "登录状态已过期");
        }
        JSONObject obj = JSONObject.parseObject(userStr);
        String userid = obj.getString("userid");
        String username = obj.getString("username");
        if (StringUtils.isBlank(userid) || StringUtils.isBlank(username))
        {
            return setUnauthorizedResponse(exchange, "令牌验证失败");
        }
        
        // 设置过期时间
        redisService.expire(getTokenKey(token), EXPIRE_TIME);
        // 设置用户信息到请求
        ServerHttpRequest mutableReq = exchange.getRequest().mutate().header(CacheConstants.DETAILS_USER_ID, userid)
                .header(CacheConstants.DETAILS_USERNAME, username).build();
        ServerWebExchange mutableExchange = exchange.mutate().request(mutableReq).build();

        return chain.filter(mutableExchange);
    }

    private Mono<Void> setUnauthorizedResponse(ServerWebExchange exchange, String msg)
    {
        ServerHttpResponse response = exchange.getResponse();
        response.getHeaders().setContentType(MediaType.APPLICATION_JSON);
        response.setStatusCode(HttpStatus.OK);

        log.error("[鉴权异常处理]请求路径:{}", exchange.getRequest().getPath());

        return response.writeWith(Mono.fromSupplier(() -> {
            DataBufferFactory bufferFactory = response.bufferFactory();
            return bufferFactory.wrap(JSON.toJSONBytes(R.fail(msg)));
        }));
    }

    private String getTokenKey(String token)
    {
        return CacheConstants.LOGIN_TOKEN_KEY + token;
    }

    /**
     * 获取请求token
     */
    private String getToken(ServerHttpRequest request)
    {
        String token = request.getHeaders().getFirst(CacheConstants.HEADER);
        if (StringUtils.isNotEmpty(token) && token.startsWith(CacheConstants.TOKEN_PREFIX))
        {
            token = token.replace(CacheConstants.TOKEN_PREFIX, "");
        }
        return token;
    }

    @Override
    public int getOrder()
    {
        return -200;
    }
}

 

JWT 讲解与 token 过期自动续期解决方案
m0_55613022的博客
06-06 1538
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。使用token的好处: 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一
Javatoken自动续期,使用Gateway过滤器—GlobalFilter
来到人间不过是个蹭饭的客人,还挑什么酸甜苦辣。
01-19 708
本文是以 gateway 网关过滤器功能实现 token 的自动续期
Java如何做到无感知刷新token含示例代码(值得珍藏)
01-19
在系统页面进行业务操作时,有时会突然遇到应用闪退,并被重定向至登录页面,要求重新登录。此问题的出现,通常与系统中用于存储用户ID和token信息的Redis缓存有关。具体来说,这可能是由于token过期所导致的身份验证失效。 要解决这个问题,可以采用种策略:一是自动刷新token,二是token续约。通过在验证用户权限的同时为用户生成新的token并返回给客户端,可以确保客户端及时更新本地存储的token。此外,设置定时任务来刷新token也是一个有效的方法。这样,即使在token即将过期的情况下,也可以通过增加其有效时间来避免应用闪退的问题。 自动刷新token是一种后端解决方案,旨在解决token过期问题。后端会检查每个token过期时间,一旦发现某个token即将过期,就会在请求头中添加一个新的token。前端在接收到请求时,会拦截该请求并从请求头中获取新的token。如果新旧token不一致,前端会直接更新本地的token,从而确保后续请求能够正常进行。这种方法可以有效避免因token过期而导致的系统闪退问题,提高了系统的稳定性和安全性。
前后端协同作战:Java实现Token无感刷新全流程
最新发布
shitou的博客
07-14 314
Java应用实现无感Token刷新方案:采用双Token机制(短期AccessToken+长期RefreshToken),当AccessToken过期时自动用RefreshToken获取新Token并重试请求。技术实现包括:1)JWT工具类生成/验证Token;2)拦截器处理401错误并刷新Token;3)前端axios拦截器自动重试请求。注意需安全存储Token处理并发刷新、定期轮换RefreshToken,失效时跳转登录页。该方案确保用户无感知续期,提升体验安全性。
java后端实现token自动续期,这方案有点优雅
2401_86951385的博客
09-05 776
这种情况说明token在缓存中过期了,表明该用户账户空闲时间过长,此时属于正常过期,后端直接返回用户信息已失效,请重新登录即可。前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。// 校验token有效性,注意需要校验的是缓存中的token。//根据用户名获取用户实体,在实际开发中从redis取。//使用HS256生成token,密钥则是用户的密码。//校验token是否失效,自动续期。//从header中获取token。//将token返回给前端用户。
关于JWT Token 自动续期的解决方案
飘渺Jam的博客
07-16 7998
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
关于Token过期的问题
01-05 7454
access_token 作用:获取需要授权的接口数据 expires_in 作用:access_token 过期的时间 refresh_token 作用:刷新获取新的 access_token 为什么access_token需要有过期时间以及比较短 为了安全 怎么处理? 方法一: 在请求发起拦截每个请求,判断token的有效时间是否已经过期,若已过期,则讲请求挂起,先刷新token后再继续请求 优点:在请求前拦截,能节省请求,省流量 缺点:需要后端额外
java 时间类
weixin_44841849的博客
03-11 192
LocalDateTime
Token 过期后,如何自动续期
拥有必珍惜
07-24 2863
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络应用环境间安全地传输信息。这些信息通过数字签名的方式进行编码和验证,以确保信息的真实性和完整性。JWT可以在个实体之间安全地传输信息,通常用于在用户和服务器之间传输认证和会话信息。JWT 的优点无状态:JWT允许服务器无状态地验证用户的身份,因为JWT本身包含了所有必要的验证信息。易于使用:JWT易于在多种语言和平台之间传输,因为它只是一个JSON对象。安全性。
【SpringBoot】JWT+TokenToken自动续期
低调做人,低调编码,神码都是浮云
05-31 1706
Springboot+jwt+token实现双token认证
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 3113
OAuth2.0 的token自动续期源码分析及实现
java如何判断token过期_【Java】后台判断token过期,后台刷新token,接下来该如何处理...
weixin_42321940的博客
02-28 8537
如标题所示我再详细描述一下我遇到的问题,如果我再发送请求的试试,后台验证header中的token,如果这时候,发现token过期,然后一系列判断其为合法token,允许token刷新,后台主动刷新token,并且成功获得新的token,那么问题来了:因为请求的接口是有返回信息的,我这时候是返回重新刷新的token给前端吗,还是获得新的token后,直接返回接口请求应该返回的数据1.如果是直接返回...
java实战生成token并放入redis设置过期时间
m0_56957320的博客
08-22 752
【代码】java实战生成token并放入redis设置过期时间。
java实现token 过期,JWT认证,取得过期token的用户名
weixin_39593247的博客
03-15 1458
前言项目前后端分离,请求认证使用的是JWT无状态认证。最近遇到一个问题,认证token需要从token中获取用户名,但是这个token有可能是过期的。一般取得用户名用的是下面的代码。private Claims getClaimsFromToken(String token) {return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(to...
Oauth2设置令牌过期时间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 9119
我们再配置ouath2的时候都会配置资源认证的服务器 其中在配置授权服务器断点时会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌的过期时间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
一,用户操作过程中token过期了怎么续上?
Weiyatong的博客
03-20 5805
一,用户操作过程中token过期了怎么续上?
java jwt刷新_jwt刷新token
weixin_32562455的博客
02-27 3187
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
29.Jwt集成(3):token设置过期时间、异常判断
p15097962069的博客
01-02 638
29.Jwt集成(3):token设置过期时间、异常判断
token过期时间分平台(web和app)设置方法
xingyuemengjin的博客
08-30 2495
本文介绍了Spring下的登录和鉴权机制的主要方法以及 token认证的主要流程,并介绍在spring中web端和APP端设置不同token过期时间的实现方法。主要基于SpringBoot+springSecurity+JWT框架实现。
token过期后如何实现自动续期
05-04
<think>好的,用户现在想了解微信小程序中token过期后如何实现自动续期的解决方案。我需要结合之前的对话内容和提供的引用资料来回答这个问题。 首先,回顾之前的对话,用户之前询问微信小程序是否需要token,我解释了token的必要性以及相关实现。现在用户进一步询问token过期后的自动续期方法,需要给出具体的方案。 接下来,参考用户提供的四个引用,特别是引用[1]和[2]提到了JWT自动续期的方法,比如双token机制和更新token的策略。引用[3]和[4]则涉及微信小程序和uni-app中的具体代码实现,比如在app.js中验证token,以及拦截请求重新获取token后继续原来的请求。 用户的需求是自动续期,也就是在token过期时,无需用户手动登录,系统自动刷新token并继续之前的操作。需要确保这个过程的平滑性和安全性。 首先,我应该考虑常见的自动续期方案,比如双token机制(access token和refresh token)。当access token过期时,用refresh token去获取新的access token。如果refresh token过期,才需要用户重新登录。这种方法在引用[1]和[2]都有提到,是可行的。 然后,在微信小程序中的具体实现步骤可能需要结合小程序的特性。例如,在请求接口时拦截401错误,检测到token过期后,调用刷新token的接口,获取新的token并重新发起之前的请求。引用[4]中的uni-app示例展示了如何通过拦截请求并在token过期后重新登录再请求,这可以借鉴到微信小程序的实现中。 另外,需要考虑存储token的方式,比如使用wx.setStorageSync存储,并在需要时获取。引用[3]中的代码示例提到了在app.js中初始化时验证token,这可能是在应用启动时检查token的有效性,但自动续期更多是在请求过程中处理。 还需要注意安全性的问题,比如refresh token的有效期较长,需要安全存储,避免泄露。同时,在刷新token时,要确保旧的token失效,防止被重复使用,引用[2]中提到更新密码时需要重新生成token,同理刷新时也应使旧token失效。 另外,错误处理机制也很重要。例如,在刷新token失败时,应跳转到登录页面让用户重新登录。同时,在并发请求时,可能会出现多个请求同时检测到token过期的情况,需要防止多次刷新token,可以通过加锁机制处理,确保只刷新一次。 最后,给出一个具体的实现方案,包括双token机制、请求拦截、错误处理、并发控制等步骤,并附上代码示例,参考用户提供的引用中的代码结构,比如使用wx.request的拦截器或者在全局的请求方法中处理。同时,可以提到使用本地存储来管理token,如wx.setStorageSync和wx.getStorageSync。 总结来说,回答需要涵盖方案设计、具体实现步骤、代码示例、注意事项,以及相关的问题扩展,帮助用户全面理解自动续期的实现方法。</think>在微信小程序中实现token自动续期,需要结合**双token机制**和**请求拦截策略**,以下是具体实现方案与技术细节: --- ### 一、核心设计原理 1. **双token机制**: - $access\_token$:短期有效(如2小时),用于接口鉴权 - $refresh\_token$:长期有效(如7天),专门用于刷新$access\_token$ 2. **过期检测逻辑**: - 当接口返回$401$状态码时触发续期流程[^1] - 服务端需在响应头中返回明确的token过期标识(如`Token-Expired: true`) --- ### 二、具体实现步骤 #### 步骤1:全局请求拦截器 ```javascript // utils/http.js let isRefreshing = false; // 防止并发刷新 const requestQueue = []; // 等待队列 const request = (options) => { return new Promise((resolve, reject) => { const _request = () => { options.header = { 'Authorization': `Bearer ${wx.getStorageSync('access_token')}`, ...options.header }; wx.request({ ...options, success: (res) => { if (res.statusCode === 401) { if (!isRefreshing) { isRefreshing = true; refreshToken().then(newToken => { options.header.Authorization = `Bearer ${newToken}`; requestQueue.forEach(cb => cb(newToken)); requestQueue.length = 0; return _request(); // 重试原始请求 }).catch(() => { wx.navigateTo({ url: '/pages/login/login' }); }).finally(() => { isRefreshing = false; }); } else { return new Promise(resolve => { requestQueue.push((newToken) => { options.header.Authorization = `Bearer ${newToken}`; resolve(_request()); }); }); } } else { resolve(res); } }, fail: reject }); }; _request(); }); }; ``` #### 步骤2:刷新token接口 ```javascript // api/auth.js const refreshToken = () => { return new Promise((resolve, reject) => { wx.request({ url: 'https://api.example.com/refresh', method: 'POST', header: { 'Authorization': `Bearer ${wx.getStorageSync('refresh_token')}` }, success: (res) => { if (res.data.code === 0) { wx.setStorageSync('access_token', res.data.access_token); wx.setStorageSync('refresh_token', res.data.refresh_token); resolve(res.data.access_token); } else { reject(); } }, fail: reject }); }); }; ``` --- ### 三、安全增强措施 1. **refresh_token存储**: - 使用`wx.setStorageSync`加密存储(可配合`crypto-js`库加密) 2. **刷新次数限制**: ```java // 服务端示例(JAVA) if(redis.get("refresh_count:"+userId) > 5){ throw new Exception("超过最大刷新次数"); } redis.incr("refresh_count:"+userId); [^2] ``` 3. **新旧token交替策略**: - 刷新成功后使旧$access\_token$立即失效 - 服务端维护`jti`(JWT ID)黑名单[^1] --- ### 四、异常处理流程 ```mermaid graph TD A[发起请求] --> B{返回401?} B -->|是| C[检查refresh_token是否有效] C -->|有效| D[调用refresh接口] C -->|无效| E[跳转登录页面] D --> F{刷新成功?} F -->|是| G[更新本地token并重试请求] F -->|否| E B -->|否| H[正常处理响应] ``` --- ### 五、最佳实践建议 1. **时效设置建议**: - $access\_token$:建议2小时 - $refresh\_token$:建议7-30天(根据安全等级调整)[^3] 2. **主动续期策略**: ```javascript // 定时检查(在app.js中) setInterval(() => { if (Date.now() - getTokenTime() > 1.5*60*60*1000) { refreshToken(); // 提前30分钟刷新 } }, 5*60*1000); [^4] ``` --相关问题-- 1. 如何防止refresh_token被盗用? 2. 微信小程序中如何实现无感登录? 3. 多端登录场景下token管理有哪些注意事项?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奋力向前123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值