前后端协同作战:Java实现Token无感刷新全流程

最新推荐文章于 2025-08-20 17:55:57 发布
原创 最新推荐文章于 2025-08-20 17:55:57 发布 · 314 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot

在Java应用中实现无感Token刷新的核心原理是:当Access Token过期时,通过Refresh Token自动获取新Token并重试请求,用户全程无感知。以下是详细实现方案:

核心原理

  1. 双Token机制

    • Access Token:短期有效(如2小时),用于请求鉴权

    • Refresh Token:长期有效(如7天),用于刷新Access Token

  2. 无感刷新流程

    • 请求接口返回401/403时触发Token刷新

    • 用Refresh Token获取新Access Token

    • 自动重试原始请求

    • 若Refresh Token过期则强制退出登录

Java实现(基于Spring Boot + JWT)

1. 添加依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
2. JWT工具类
public class JwtUtils {
    private static final String SECRET_KEY = "your-secret-key";
    private static final long ACCESS_EXPIRE = 30 * 60 * 1000; // 30分钟
    private static final long REFRESH_EXPIRE = 7 * 24 * 60 * 60 * 1000; // 7天

    // 生成双Token
    public static Map<String, String> generateTokens(String username) {
        String accessToken = Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + ACCESS_EXPIRE))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();

        String refreshToken = Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + REFRESH_EXPIRE))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();

        return Map.of("accessToken", accessToken, "refreshToken", refreshToken);
    }

    // 刷新Access Token
    public static String refreshAccessToken(String refreshToken) throws ExpiredJwtException {
        Claims claims = parseToken(refreshToken);
        return Jwts.builder()
                .setSubject(claims.getSubject())
                .setExpiration(new Date(System.currentTimeMillis() + ACCESS_EXPIRE))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 解析Token
    public static Claims parseToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
}
3. 实现拦截器处理无感刷新
@Component
public class TokenRefreshInterceptor implements HandlerInterceptor {
    @Autowired
    private UserService userService; // 包含刷新Token的业务方法

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String accessToken = request.getHeader("Authorization");
        try {
            JwtUtils.parseToken(accessToken); // 验证Access Token
            return true;
        } catch (ExpiredJwtException ex) {
            // Access Token过期时尝试刷新
            String refreshToken = request.getHeader("Refresh-Token");
            if (refreshToken != null) {
                try {
                    // 刷新Token并更新响应头
                    String newAccessToken = userService.refreshToken(refreshToken);
                    response.setHeader("New-Access-Token", newAccessToken);
                    return true;
                } catch (Exception e) {
                    response.setStatus(HttpStatus.UNAUTHORIZED.value());
                    return false; // 刷新失败
                }
            }
        }
        return false;
    }
}
4. 前端配合实现自动重试
// 使用axios拦截器
axios.interceptors.response.use(
  response => response,
  async error => {
    const originalRequest = error.config;
    if (error.response.status === 401 && !originalRequest._retry) {
      originalRequest._retry = true;
      
      // 用Refresh Token获取新Access Token
      const newToken = await refreshToken(); 
      
      // 更新请求头并重试
      originalRequest.headers['Authorization'] = `Bearer ${newToken}`;
      return axios(originalRequest);
    }
    return Promise.reject(error);
  }
);

关键注意事项

  1. 安全存储

    • Refresh Token必须存储在HttpOnly Cookie中,防止XSS攻击

    • Access Token建议存内存或SessionStorage

  2. 并发控制

    • 当多个请求同时触发刷新时,需用锁机制保证只刷新一次

  3. Refresh Token轮换

    • 每次刷新后生成新的Refresh Token,使旧Token立即失效

  4. 失效处理

    • Refresh Token过期需清空客户端Token并跳转登录页

流程示意图

java jwt刷新_jwt刷新token
weixin_32562455的博客
02-27 3187
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token刷新问题,今天跟别人闲聊,聊到了关于业务中token刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
Java技术栈前瞻:未来技术趋势与创新
【青云交】华为云云享专家 | 阿里云开发者社区专家博主 技术圈个人影响力前 17 | 博客之星 TOP23 CSDN 首位四榜(原力榜 / 作者周榜 / 领军人物 / 综合热榜)榜首,破平台纪录! 苏州地区全榜霸榜,感恩全网十多万粉丝同行!
05-18 1858
Java 9 引入模块化系统(Jigsaw 项目)以来,大型应用和系统的构建方式发生了重大变革。在传统 Java 开发中,项目依赖管理常常是一个复杂且容易出错的环节,众多的类库相互交织,导致项目结构混乱,维护难度增大。而模块化系统的出现,就像是为复杂的代码世界建立了一套清晰的规则和秩序。模块是一组相关的 Java 类型(类、接口等)的集合,通过模块描述符(module - info.java)来定义模块的边界和依赖关系。
java JWT token 自动更新方案
qq_40837841的博客
05-08 3497
jwt 的token 的自动更新策略
JAVA开发(token过期续期)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 4993
在使用token进行登录的过程中,如果token过期了,需要重新输入用户名和密码登录,这种体验肯定是不好的,因为如果一直在使用系统,系统应该一直能够保持登录状态,而不是用着用着就突然退出系统重新登录。
java服务-springboot拦截器实现用户登录Token及权限校验
码者人生的技术博客
05-30 4718
springboot拦截器主要目标: 拦截请求,验证请求的用户对访问的资源是否有访问权限; 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表; 需要排除的url,在配置文件中进行配置; 双拦截器
拦截器里实现token刷新
weixin_51242199的博客
04-23 890
先引入要用到的模块 import axios from "axios"; import Cookie from "js-cookie"; //引入 import Base from "../utli/Base64"; //加密解密 import router from "@/router"; //路由跳转 新建axios实例 const instance = axios.create({ baseURL: 'http://192.168.1.84:8081/m.api',//url timeo
Java 大视界 -- Java 实现 MapReduce 编程模型:基础原理与代码实践(三)
【青云交】华为云云享专家 | 阿里云开发者社区专家博主 技术圈个人影响力前 17 | 博客之星 TOP23 CSDN 首位四榜(原力榜 / 作者周榜 / 领军人物 / 综合热榜)榜首,破平台纪录! 苏州地区全榜霸榜,感恩全网十多万粉丝同行!
12-24 1311
本文聚焦 Java 实现 MapReduce 编程模型,深入阐释原理,含丰富案例代码及性能优化策略,具高实用价值。
Java 大视界 -- Java 大数据在智能医疗临床决策支持系统中的知识图谱构建与应用(253)
【青云交】华为云云享专家 | 阿里云开发者社区专家博主 技术圈个人影响力前 17 | 博客之星 TOP23 CSDN 首位四榜(原力榜 / 作者周榜 / 领军人物 / 综合热榜)榜首,破平台纪录! 苏州地区全榜霸榜,感恩全网十多万粉丝同行!
05-16 2070
本文基于国家卫健委医疗信息化试点项目,披露 Java 在智能医疗的全链路合规应用,涵盖符合 SNOMED CT 的实体识别、等保 2.0 隐私图谱构建、临床指南智能匹配等核心技术,提供某三甲医院实战代码与第三方验证数据,为医疗数字化转型提供 “技术 + 政策” 双合规方案。
token自动刷新java
头发茂密的假程序猿
10-13 4073
问题 token设置过期时间后,如果不做其他处理,那么会存在一点小问题,比如把token设置有效期为一小时,有个用户登录系统后一直在操作,当到一小时后,突然该用户就被报401,这个体验是非常不好的。 解决方法 后端解决 思路:后端拦截器中拦截每个请求,每次请求过来,都调用redis重新设置过期,当然redis的key要设计好,每次刷新的都是当前登录用户的key,这样如果你一直操作,则你的过期时间一直在刷新,这个方法比较简单直接。 参考:后端刷新token 使用refresh_token 此方法需要前来实
OKHTTP系列(十一)---自定义拦截器之登录验证再请求拦截器(刷新token再请求)
freak_csh的博客
07-13 4207
一、前言 在上一篇博文中,我们介绍了怎么自定义拦截器添加公共参数和设置请求头参数,在这里,讲解一下,自定义一个拦截器去验证登陆是否过期,然后做一些相应的操作,流程如下: 二、RefreshTokenInterceptor类 /** * @author Freak * @date 2019/6/15. */ public class RefreshTokenIntercept...
【实时Linux实战系列】基于实时Linux的自适应控制系统
望获实时Linux系统
08-19 717
本文介绍了基于实时Linux的自适应控制系统开发技术,重点阐述了其在工业自动化、航空航天等领域的应用价值。文章详细说明了环境准备、案例实现步骤和调试方法,包括温度自适应控制系统的开发过程,涉及实时任务调度、传感器数据采集和PWM控制等关键技术。同时提供了常见问题的解决方案和性能优化建议,为开发者掌握这一技术提供了实用指导。该技术能显著提升系统响应速度和稳定性,适用于需要高精度实时控制的各类场景。
深入理解 Spring 的 @ControllerAdvice
Roc的博客
08-20 574
简单来说,是一个组件注解(被@Component元注解标注),它允许你将一个类声明为一个全局的、跨多个控制器的增强器(Advice)。你可以把它理解为 Spring MVC 版本的AOP(面向切面编程),但它不是基于代理,而是专门为控制器层设计的。全局异常处理全局数据绑定全局数据预处理命名清晰:类名如,明确其职责。区分使用场景开发,优先使用,专注于返回统一的 JSON 异常响应。开发传统多页应用,使用,可以混合处理异常、绑定模型等。避免过度使用。
08.常见文本处理工具
weixin_56408536的博客
08-18 727
查看二进制文件的不同。
java基础知识总结
yvya_的博客
08-19 1138
java 基础包含语法、面向对象,异常处理、文件操作等方面。
Java虚拟机故障处理工具全指南
最新发布
qq_73993301的博客
08-20 739
JVM故障处理工具全景指南:从基础到高阶诊断 本文系统介绍了JVM提供的故障诊断工具链,包括命令行工具(jps、jstat、jinfo、jmap、jhat、jstack、jcmd)和可视化工具(jconsole、VisualVM)。详细解析了各工具的核心功能和使用场景:jps用于进程查看、jstat监控GC行为、jmap生成堆转储等。文章提供了实战建议,强调基线数据收集和工具组合使用的重要性,并指出生产环境的使用注意事项。最后还介绍了远程连接、自动化分析等高级技巧,推荐结合Arthas、MAT等专业工具进行
蓝凌EKP产品:JSP 性能优化和 JSTL/EL要点检查列表
wwwhongxia的专栏
08-17 1450
使用或获取 Spring BeanFilter 本身由 Tomcat 管理,但业务逻辑由 Spring 管理支持 Redis 缓存、限流、统计等功能JSP 内置对象作用域优化临时页面变量使用page作用域避免使用 request/session/application 存储短期临时数据提升性能,降低内存压力。
Java基础(十一)可变参数,枚举
weixin_73741891的博客
08-17 355
Java5引入可变参数,使用...表示,被视为数组且必须作为最后一个参数。方法重载时优先匹配固定参数。枚举是表示固定常量的特殊类型,通过enum定义,支持字段、构造方法等高级特性,并可用于switch语句。
我的SSM框架自学2
lrk__的博客
08-19 799
浏览器缓存也就是用户在访问浏览器的页面时,会把页面的资源保存在本地缓存中,下一次在访问相同的页面时,不会从服务器中重新获取,而是从本地缓存中获取;那MyBatis的缓存就是把MyBatis所查询的数据存储在缓存中,如果下一次查询还是相同的数据则从缓存中取;底层是代理模式,把非核心业务代码抽取出来交给切面类管理,并不是抽取出来就完了,而是要把它套在抽取出来的位置,也就是在不修改源代码的情况下给程序动态统一添加额外功能的一种技术。
Vue实现refreshToken无感刷新的详细教程
资源摘要信息: "Vue前实现Token无感刷新的详细过程" 本文档主要讨论了在Vue前项目中,如何利用refreshToken配合axios拦截器实现对用户认证Token的无感知刷新。在现代Web应用中,安全性和用户体验是开发时需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值