更新时间:2022-06-16 01:49:28
在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。
后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。
因为jwt token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。
但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。
如果真发生了这种情况前端用户肯定是要骂人的,用户体验非常不友好。本篇内容就是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。
jwt token自动续期的实现原理如下:
jwt token
作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。jwt Filter
校验前端token是否是有效token,如果前端token无效表明是非法请求,直接抛出异常即可;实现逻辑的核心原理:前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。
... SysUser sysUser = userService.getUser(username,password); if(null !== sysUser){ String token = JwtUtil.sign(sysUser.getUsername(), sysUser.getPassword()); } ... public static String sign(String username, String secret) { //设置token有效期为30分钟 Date date = new Date(System.currentTimeMillis() + 30 * 60 * 1000); //使用HS256生成token,密钥则是用户的密码 Algorithm algorithm = Algorithm.HMAC256(secret); // 附带username信息 return JWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm); }
Sting tokenKey = "sys:user:token" + token; redisUtil.set(tokenKey, token); redisUtil.expire(tokenKey, 30 * 60 * 2);
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { //从header中获取token String token = httpServletRequest.getHeader("token") if(null == token){ throw new RuntimeException("illegal request,token is necessary!") } //解析token获取用户名 String username = JwtUtil.getUsername(token); //根据用户名获取用户实体,在实际开发中从redis取 User user = userService.findByUser(username); if(null == user){ throw new RuntimeException("illegal request,token is Invalid!") } //校验token是否失效,自动续期 if(!refreshToken(token,username,user.getPassword())){ throw new RuntimeException("illegal request,token is expired!") } ... }
public boolean refreshToken(String token, String userName, String passWord) { Sting tokenKey = "sys:user:token" + token ; String cacheToken = String.valueOf(redisUtil.get(tokenKey)); if (StringUtils.isNotEmpty(cacheToken)) { // 校验token有效性,注意需要校验的是缓存中的token if (!JwtUtil.verify(cacheToken, userName, passWord)) { String newToken = JwtUtil.sign(userName, passWord); // 设置超时时间 redisUtil.set(tokenKey, newToken) ; redisUtil.expire(tokenKey, 30 * 60 * 2); } return true; } return false; } ... public static boolean verify(String token, String username, String secret) { try { // 根据密码生成JWT效验器 Algorithm algorithm = Algorithm.HMAC256(secret); JWTVerifier verifier = JWT.require(algorithm).withClaim("username", username).build(); // 效验TOKEN DecodedJWT jwt = verifier.verify(token); return true; } catch (Exception exception) { return false; } }
本文中jwt的相关操作是基于 com.auth0.java-jwt
实现,大家可以通过阅读原文获取 JwtUtil
工具类。
jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准,千万不要直接校验Header中的token。实现原理部分大家好好体会一下,思路比实现更重要!