基于token的签发和验证衍生出的刷新和作废，有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护，很大原因就是这块问题。

虽然之前的案例里面，我们可以成功在登录后获取一个Token，然后访问服务器的时候带着这个Token，服务器就可以知道当前访问的用户Uid了，假设现在有一下需求：

登录后7天不用重复登录

超过30天没有访问网站则需重新登录，否则一直有效

修改密码功能

Token续签问题

对于第一个问题，我们可以在jwt的 Payload 里面设置一个过期时间，比如说7天，超过这个时间Token无效。但是如果只是简单的这么做的话就会带来另一个问题：假如一个用户正在访问网站，突然Token失效了，用户就会掉登录，体验太差。

所以，大部分时候我们都是采用第二种策略: 超过xx天不访问网站则需要重新登录，如果中间连续访问网站的话则不要重新登录，对于很多手机App，我们可不希望用户天天输账号密码登录，但如果永久有效可能会带来一些安全问题。

这其实就是Token的续签问题，我们看一下网上提到的一些解决方案：

1.更新Payload里面的过期时间。

JWT的Payload里面可以设置一个过期时间，我们可以在用户每次访问的时候把这个过期时间更新一下。由于JWT的secret加密机制，只要exp变了，整个Token就变了，所以这种机制相当于每次重新颁发了一个新的Token。

这种方案简单粗暴，存在性能问题。

2.快过期的时候更新Token

比如说离过期时间还有不到1个小时的时候才更新Token，性能上面可能好一点，但是如果一个用户一直在访问，但是恰好最后一个1个小时内没有访问网站，那岂不是也gg了？

那么可以考虑如下设计：
Token过期时间越短越安全，如设置Token过期时间15分钟，建议更换时间设置为Token前5分钟，则Token生命周期如下：

时间	Token类型	说明
0-10分钟	正常Token	正常访问
10-15分钟	濒死Token	正常访问，返回新Token，建议使用新Token
>15分钟	过期Token	需校验是否正常过期。正常过期则能访问，并返回新Token；非过期Token拒绝访问

3.使用Cache记录Token过期时间

Token本身不设置过期时间，然后我们在redis或memcached等缓存里面单独设置一个有效期，每次访问的时候刷新过期时间。

其实这个方案和使用session机制无异，session也可以保存在redis或者memcached里面的。所以，有人戏说这是重新发明了session 。。。

4.使用refreshToken

借鉴 oauth2 的设计，返回给客户端一个 refreshToken，允许客户端主动刷新JWT。一般而言，jwt 的过期时间可以设置为数小时，而 refreshToken 的过期时间设置为数天。

前端解码token。拿到过期时间，和当前时间进行判断。如果快过期，主动调用获取新token.
缺点：前端每次请求需要解码判断
优点：后端压力小，不需要存储。

5.其它方案

最后说一下我觉得比较合适的方案，当服务器接受到一个Token后，如果它已经过期，但是已过期的时间在xx天内，比如说30天，我们就返回一个新的Token。比如说Token的有效期是7天，但是如果过期时间不超过30天就可以用旧的Token换取一个新的Token，如果超过了30天那就需要重新登录。

Token作废问题

当用户退出登录、修改密码之后，讲道理我们是需要作废之前的Token，比如说用户的Token被盗用了，只能通过修改密码来防止账号被盗用。如果使用session机制就很简单了，我们清空服务器session，或者使用新的session替换之前旧的session也行。

由于Token是无状态的，理论上只要不过期就可以一直用，你说这咋办？为了安全，必须得做一些额外的工作！

1.Cache

如果你之前是采用把Token存在cache里面这种方案，那么你只要删除cache里面的key就可以了。

2.用户关联

有人说，建一张表把uid和Token关联起来，这样一个用户只有一个有效的Token，或者存cache也行，建立uid和Token的一对一关系，这方案和1差不多。无论是存表还存cache，每次访问都必不可免的需要访问库或cache。

3.黑名单

在数据表或cache里面维护一个黑名单，也避免不了查库或者查cache，为了避免这个库内容过多，可以定期清理数据库，或者给cache设置一个有效期。比如说在上面说的例子里面，有效期应该设置为30天，30天之后就不用管了。

其实我比较喜欢第3种方案，第2种方案如果用户多了对库压力大，而第3种，除非用户经常修改密码或者退出登录，不然这个数据集不会很大。

如果不考虑安全，我们完全可以不考虑Token作废问题，那么我们就必须在防止XSS攻击上面做好工作，比如说使用https，cookies设置httpOnly。。。

【令牌的签发】
首先用户登录进来，我们先验证用户名/密码，验证通过后我们会生成两个 token(access_token、refresh_token 他们的唯一区别是一个过期时间短一般几个小时，一个过期时间长一般设置7天) 然后把一些必要的参数封装成 LoginRespVO 响应回客户端。token 主要包含用户id、用户登录名、用户所拥有的角色、用户所拥有的权限、和签发单位标识。
然后由客户端浏览器存储起来

【令牌的重复使用】
令牌发放之后，借鉴Oauth2的设计：当access token过期而refresh token有效的时候，客户端使用后者重新获取新的access token，而老的access_token 用redis 标记起来并设置过期时间过期时间为该令牌剩余的过期时间（老的access_token在它剩余的过期时间里也要保持可使用）。每次使用refresh token刷新access token的时候，不光更新access token，refresh token 同样也更新。

【令牌的作废①】
在用户修改了密码，或登出时：清空 shiro/SpringSecurity等安全框架的一些缓存信息，然后把 access_token 加入黑名单、refresh_token 加入redis里维护的黑名单，并且设置过期时间过期时间为该令牌剩余的过期时间（发放的access_token/refresh_token 过期了，与之对应的黑名单也不用再维护了）。

【令牌的作废②】
在后台修改了角色/菜单权限时：把相关联用户都用redis标记为需要刷新令牌（更改jwt载荷里的用户权限、角色等信息）过期时间为access_token 生成的过期时间

【令牌的验证】
创建一个拦截器拦截用户请求

判断客户端是否携带accessToken

判断用户是否被锁定

判断用户是否被删除

判断用户是否是否主动退出（查黑名单）

判断access_token 是否通过校验(校验是否过期)

判断用户是否需要刷新（查需要刷新的名单）
在判断用户是否需要刷新时，要注意：
需要排除重新登录的用户，重新登录的用户，已经签发了新的token，新token里包含新的权限信息，所以不需要重新刷新了。就要比较这个accessToken和JWT_REFRESH_KEY+userId两者的剩余过期时间。如果JWT_REFRESH_KEY+userId大于accessToken说明这个 accessToken不是重新生成的。

JWT【关于刷新和作废的思考】