token 过期后,如何自动续期?

互联网架构师

共 2382字,需浏览 5分钟

 ·

2022-05-09 23:23

点击关注公众号,回复“2T”获取2TB学习资源!

互联网架构师后台回复 2T 有特别礼包

上一篇:设计一个高质量的 API 接口

来源:toutiao.com/article/6995179162675790350


JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。


JWT标准里面定义的标准claim包括:


  • iss(Issuser):JWT的签发主体;
  • sub(Subject):JWT的所有者;
  • aud(Audience):JWT的接收对象;
  • exp(Expiration time):JWT的过期时间;
  • nbf(Not Before):JWT的生效开始时间;
  • iat(Issued at):JWT的签发时间;
  • jti(JWT ID):是JWT的唯一标识。


除了以上标准声明以外,我们还可以自定义声明。以 com.auth0 为例,下面代码片段实现了生成一个带有过期时间的token.

String token = JWT.create()    .withIssuer(ISSUER)    .withIssuedAt(new Date(currentTime))// 签发时间    .withExpiresAt(new Date(currentTime + EXPIRES_IN * 1000 * 60))// 过期时间戳    .withClaim("username", username)//自定义参数    .sign(Algorithm.HMAC256(user.getPassword()));

其中:


  • withIssuer() 设置签发主体;
  • withIssuedAt() 设置签发时间;
  • withExpiresAt() 设置过期时间戳,过期的时长为 EXPIRES_IN (单位秒);
  • withClaim() 设置自定义参数。


JWT设置了过期时间以后,一定超过,那么接口就不能访问了,需要用户重新登录获取token。如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。


token过期的续期方案


解决token过期的续期问题可以有很多种不同的方案,这里举一些比较有代表性的例子。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。


单token方案


  • 将 token 过期时间设置为15分钟;

  • 前端发起请求,后端验证 token 是否过期;如果过期,前端发起刷新token请求,后端为前端返回一个新的token;

  • 前端用新的token发起请求,请求成功;

  • 如果要实现每隔72小时,必须重新登录,后端需要记录每次用户的登录时间;用户每次请求时,检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败,跳转到登录页面。


另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。


上面介绍的单token方案原理比较简单。下面我们再看一个双token方案。

双token方案



微信网页授权是通过OAuth2.0机制实现的,也使用了双token方案。


微信网页授权方案



后端实现token过期还可以利用Redis来存储token,设置redis的键值对的过期时间。如果发现redis中不存在token的记录,说明token已经过期了。

-End-

最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全


正文结束


推荐阅读 ↓↓↓

1.心态崩了!税前2万4,到手1万4,年终奖扣税方式1月1日起施行~

2.深圳一普通中学老师工资单曝光,秒杀程序员,网友:敢问是哪个学校毕业的?

3.从零开始搭建创业公司后台技术栈

4.程序员一般可以从什么平台接私活?

5.清华大学:2021 元宇宙研究报告!

6.为什么国内 996 干不过国外的 955呢?

7.这封“领导痛批95后下属”的邮件,句句扎心!

8.15张图看懂瞎忙和高效的区别!

浏览 6
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报