jwt过期了怎么处理,jwt过期时间存储在哪

首页 > 实用技巧 > 作者:YD1662023-06-09 08:07:42

前面一篇文章《》介绍了基于SpringBoot实现JWT登录认证的基本思路,我们使用了com.auth0 这样一个JWT实现。

在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。

如何设置token的过期时间

前文《》介绍过,JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。

JWT标准里面定义的标准claim包括:

除了以上标准声明以外,我们还可以自定义声明。以 com.auth0 为例,下面代码片段实现了生成一个带有过期时间的token.

String token = JWT.create() .withIssuer(ISSUER) .withIssuedAt(new Date(currentTime))// 签发时间 .withExpiresAt(new Date(currentTime EXPIRES_IN * 1000 * 60))// 过期时间戳 .withClaim("username", username)//自定义参数 .sign(Algorithm.HMAC256(user.getPassword()));

其中:

JWT设置了过期时间以后,一定超过,那么接口就不能访问了,需要用户重新登录获取token。如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。

token过期的续期方案

解决token过期的续期问题可以有很多种不同的方案,这里举一些比较有代表性的例子。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。

单token方案

jwt过期了怎么处理,jwt过期时间存储在哪(1)

单token方案实现token续期

  1. 将 token 过期时间设置为15分钟;
  2. 前端发起请求,后端验证 token 是否过期;如果过期,前端发起刷新token请求,后端为前端返回一个新的token;
  3. 前端用新的token发起请求,请求成功;
  4. 如果要实现每隔72小时,必须重新登录,后端需要记录每次用户的登录时间;用户每次请求时,检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败,跳转到登录页面。

另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。

上面介绍的单token方案原理比较简单。下面我们再看一个双token方案。

双token方案

  1. 登录成功以后,后端返回 access_token 和 refresh_token,客户端缓存此两种token;
  2. 使用 access_token 请求接口资源,成功则调用成功;如果token超时,客户端携带 refresh_token 调用token刷新接口获取新的 access_token;
  3. 后端接受刷新token的请求后,检查 refresh_token 是否过期。如果过期,拒绝刷新,客户端收到该状态后,跳转到登录页;如果未过期,生成新的 access_token 返回给客户端。
  4. 客户端携带新的 access_token 重新调用上面的资源接口。
  5. 客户端退出登录或修改密码后,注销旧的token,使 access_token 和 refresh_token 失效,同时清空客户端的 access_token 和 refresh_toke。

微信网页授权是通过OAuth2.0机制实现的,也使用了双token方案。

jwt过期了怎么处理,jwt过期时间存储在哪(2)

微信网页授权

微信网页授权方案

后端实现token过期还可以利用redis来存储token,设置redis的键值对的过期时间。如果发现redis中不存在token的记录,说明token已经过期了。

我会持续更新关于物联网、云原生以及数字科技方面的文章,用简单的语言描述复杂的技术,也会偶尔发表一下对IT产业的看法,请大家多多关注,欢迎留言和转发,希望与大家互动交流,谢谢。

栏目热文

文档排行

本站推荐

Copyright © 2018 - 2021 www.yd166.com., All Rights Reserved.