JWT(JSON Web Token)通常是在用户登录后签发的,用于验证用户身份和授权。JWT 的有效期限(或称“过期时间”)通常是一段时间(例如1小时),过期后用户需要重新登录以获取新的JWT。然而,在某些情况下,用户可能会在JWT到期之前使用应用程序,这可能会导致应用程序不可用或需要用户重新登录。为了避免这种情况,通常有两种解决方案来处理JWT续期问题:
①、刷新令牌(Refresh Token)
刷新令牌是一种机制,它允许应用程序获取一个新的JWT,而无需用户进行身份验证。当JWT过期时,应用程序使用刷新令牌向身份验证服务器请求一个新的JWT,而无需提示用户输入其凭据。这样,用户可以继续使用应用程序,而不必重新登录。
②、自动延长JWT有效期
在某些情况下,JWT可以自动延长其有效期。例如,当用户在JWT过期前继续使用应用程序时,应用
代码演示如何使用Refresh Token来更新JWT
public String refreshAccessToken(String refreshToken) {
// validate the refresh token (check expiration, signature, etc.)
boolean isValid = validateRefreshToken(refreshToken);
if (isValid) {
// retrieve the user information associated with the refresh token (e.g. user ID)
String userId = getUserIdFromRefreshToken(refreshToken);
// generate a new JWT access token
String newAccessToken = generateAccessToken(userId);
return newAccessToken;
} else {
throw new RuntimeException("Invalid refresh token.");
}
}
在这个示例中,refreshAccessToken方法接收一个刷新令牌作为参数,并使用validateRefreshToken方法验证该令牌是否有效。如果令牌有效,方法将使用getUserIdFromRefreshToken方法获取与令牌关联的用户信息,然后使用generateAccessToken方法生成一个新的JWT访问令牌,并将其返回。如果令牌无效,则抛出异常。
那怎么自动延长JWT有效期呢?
要自动延长JWT有效期,您可以在每次请求时检查JWT的过期时间,并在必要时更新JWT的过期时间。以下是一个示例Java代码,演示如何自动延长JWT有效期:
public String getAccessToken(HttpServletRequest request) {
String accessToken = extractAccessTokenFromRequest(request);
if (isAccessTokenExpired(accessToken)) {
String userId = extractUserIdFromAccessToken(accessToken);
accessToken = generateNewAccessToken(userId);
} else if (shouldRefreshAccessToken(accessToken)) {
String userId = extractUserIdFromAccessToken(accessToken);
accessToken = generateNewAccessToken(userId);
}
return accessToken;
}
private boolean isAccessTokenExpired(String accessToken) {
// extract expiration time from the access token
Date expirationTime = extractExpirationTimeFromAccessToken(accessToken);
// check if the expiration time is in the past
return expirationTime.before(new Date());
}
private boolean shouldRefreshAccessToken(String accessToken) {
// extract expiration time and current time
Date expirationTime = extractExpirationTimeFromAccessToken(accessToken);
Date currentTime = new Date();
// calculate the remaining time until expiration
long remainingTime = expirationTime.getTime() - currentTime.getTime();
// refresh the token if it expires within the next 5 minutes
return remainingTime < 5 * 60 * 1000;
}
private String generateNewAccessToken(String userId) {
// generate a new access token with a new expiration time
Date expirationTime = new Date(System.currentTimeMillis() + ACCESS_TOKEN_EXPIRATION_TIME);
String accessToken = generateAccessToken(userId, expirationTime);
return accessToken;
}
在这个示例中,getAccessToken方法接收HttpServletRequest对象作为参数,并使用extractAccessTokenFromRequest方法从请求中提取JWT访问令牌。然后,它使用isAccessTokenExpired方法检查JWT的过期时间是否已过期。如果过期,它使用extractUserIdFromAccessToken方法从JWT中提取用户ID,并使用generateNewAccessToken方法生成一个新的JWT访问令牌。如果JWT尚未过期,但即将到期,则使用shouldRefreshAccessToken方法检查JWT是否需要更新。如果是这样,它使用相同的流程生成一个新的JWT访问令牌。
那新生成的token怎么返回给前端?
在生成新的JWT访问令牌之后,您需要将其返回给前端,以便前端可以在下一次请求中使用它。以下是一个示例Java代码,演示如何将新的JWT访问令牌返回给前端:
public ResponseEntity> authenticateUser(LoginRequest loginRequest) {
// authenticate the user and generate a new JWT access token
String userId = authenticate(loginRequest.getUsername(), loginRequest.getPassword());
String accessToken = generateAccessToken(userId);
// generate a new refresh token and save it to the database
String refreshToken = generateRefreshToken(userId);
saveRefreshToken(refreshToken);
// create a response object containing the access token and refresh token
AuthResponse authResponse = new AuthResponse(accessToken, refreshToken);
// return the response object in a HTTP response
return ResponseEntity.ok(authResponse);
}
public ResponseEntity> refreshAccessToken(HttpServletRequest request) {
// extract the refresh token from the request
String refreshToken = extractRefreshTokenFromRequest(request);
// validate the refresh token and retrieve the associated user ID
String userId = validateAndRetrieveUserId(refreshToken);
// generate a new access token with a new expiration time
Date expirationTime = new Date(System.currentTimeMillis() + ACCESS_TOKEN_EXPIRATION_TIME);
String accessToken = generateAccessToken(userId, expirationTime);
// create a response object containing the new access token
AccessTokenResponse accessTokenResponse = new AccessTokenResponse(accessToken);
// return the response object in a HTTP response
return ResponseEntity.ok(accessTokenResponse);
}
在这个示例中,authenticateUser方法返回一个HTTP响应,其中包含新的JWT访问令牌和Refresh Token。这个响应可以使用Spring的ResponseEntity类来构造。在refreshAccessToken方法中,新的JWT访问令牌也被包装在一个响应对象中,并返回到前端。
一个界面多个请求并发执行,第一个请求更新了token,后续请求还是携带旧token,怎么保证后续请求正常执行?
当多个请求并发执行时,可能会出现一个请求更新了JWT访问令牌,但是后续请求仍然携带旧的JWT访问令牌的情况。为了保证后续请求正常执行,您可以采取以下几种方法:
使用同步机制
在每个请求处理程序中使用同步机制(例如,Java的synchronized关键字),以确保在更新JWT访问令牌期间没有其他请求正在使用旧的JWT访问令牌。
使用无状态JWT
无状态JWT不需要在服务端存储任何状态信息,因此可以避免因为更新JWT访问令牌而导致后续请求使用旧的JWT访问令牌的问题。但是,无状态JWT可能会在JWT令牌过期或JWT令牌被篡改的情况下失效。
使用JWT黑名单
在服务端维护一个JWT黑名单,记录已经失效的JWT访问令牌。当一个请求到达时,首先检查JWT黑名单,如果发现JWT访问令牌已经失效,则拒绝该请求。这种方法可以在一定程度上防止后续请求使用旧的JWT访问令牌,但是需要在服务端维护JWT黑名单,增加了一些开销和复杂性。