Java实战:Spring Boot实现无感刷新Token机制

最新推荐文章于 2025-05-20 09:04:48 发布
最新推荐文章于 2025-05-20 09:04:48 发布
阅读量4.9k 收藏 21
点赞数 24
CC 4.0 BY-SA版权
文章标签: java spring boot 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oandy0/article/details/136419485
本文详细介绍了如何在SpringBoot项目中通过JWT和RefreshToken实现无感刷新Token机制,包括双Token工作原理、JWT生成与验证、SpringSecurity拦截器的应用以及安全性和优化建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

引言

在当前的Web应用开发中,JSON Web Tokens(JWT)作为一种轻量级的认证协议,因其无状态、自包含的特性而备受青睐。然而,JWT默认的有效期有限,如何在不影响用户体验的前提下实现Token的自动刷新,即所谓的“无感刷新Token”,成为了许多开发者关注的问题。本文将深入探讨如何在Spring Boot项目中实现无感刷新Token机制,并通过具体的示例代码,逐步引导读者掌握这一核心技术。

一、理解JWT与Token刷新

  1. JWT基础
    JSON Web Tokens由头部(Header)、载荷(Payload)和签名(Signature)三部分组成,其中载荷部分可以携带过期时间(exp)。一旦Token过期,用户必须重新登录以获取新的Token。

  2. Token刷新
    无感刷新Token,是指在用户正常操作期间,系统在后台自动刷新Token的有效期,避免因Token过期而导致用户被迫重新登录。

二、基于Refresh Token的双Token机制

  1. Refresh Token
    一种常见的无感刷新Token策略是采用双Token机制,即同时发放Access Token和Refresh Token。Access Token用于身份验证,有效期较短;Refresh Token用于获取新的Access Token,有效期较长。

  2. 刷新流程
    当Access Token即将过期时,客户端携带Refresh Token向服务器请求新的Access Token,服务器验证Refresh Token有效后,颁发新的Access Token,并可以选择性地更新Refresh Token。

三、Spring Boot实现无感刷新Token实战

  1. 生成与解析JWT
    首先,我们需要引入JWT相关的依赖,如jjwt,并实现JWT的生成与解析。
// JWT工具类
@Component
public class JwtUtil {
    
    private String secret = "your-secret-key"; // 密钥
    
    public String generateToken(UserDetails userDetails) {
        // 创建JWT并设置过期时间、载荷信息
        // ...
        return Jwts.builder()
            .setSubject(userDetails.getUsername())
            .setExpiration(new Date(System.currentTimeMillis() + expirationTime))
            .signWith(SignatureAlgorithm.HS512, secret)
            .compact();
    }

    public Boolean validateToken(String token, UserDetails userDetails) {
        // 验证JWT有效性
        // ...
    }

    public String refreshToken(String token) {
        // 从token中提取subject(用户名)
        // 检查Refresh Token有效性
        // 生成新的Access Token
        // ...
    }
}
  1. 拦截器实现Token刷新
    创建一个Spring Security拦截器,用于处理带有JWT的HTTP请求,并在必要时自动刷新Token。
@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        
        String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            String token = authorizationHeader.substring(7); // 获取Token
            String username = jwtUtil.extractUsername(token); // 提取用户名

            // 检查Token是否过期,如果即将过期,则尝试刷新Token
            if (jwtUtil.isTokenAboutToExpire(token)) {
                String refreshedToken = jwtUtil.refreshToken(token);
                // 更新响应头中的Token信息
                // ...
            }
        }

        chain.doFilter(request, response);
    }
}
  1. 客户端处理Token刷新
    在前端或移动端,通过监听HTTP请求的响应头,获取新的Access Token,并更新本地存储。

四、进一步优化与注意事项

  1. Refresh Token安全性
    为保证系统安全,Refresh Token应具备足够的保护措施,如限制其生命周期、禁止跨域使用、考虑绑定设备等。

  2. 离线刷新
    对于某些场景,可以考虑实现离线刷新Token,即在客户端检测到Token即将过期时,即使用户尚未发起新的HTTP请求,也主动向服务器请求新的Token。

  3. API Gateway集成
    在微服务架构中,可以利用API Gateway处理Token刷新,减轻服务端的压力,同时实现更灵活的刷新策略。

五、结论

通过本文的阐述与示例,我们了解到如何在Spring Boot中实现基于JWT的无感刷新Token机制。实际应用中,应根据项目需求,结合最佳实践,对Token刷新策略进行合理设计与优化,以实现既保证系统安全性,又能提供良好用户体验的目标。

拥抱AI
关注
SpringBoot 实现无感刷新 token
qq_30895747的博客
07-06 351
SpringBoot 实现无感刷新 token
3步实现SpringBoot无感刷新Token:再也不怕中途掉线
java专栏
10-30 885
通过今天的分享,相信你已经掌握了在SpringBoot项目中实现无感刷新Token的方法。无论是简单的登录认证,还是复杂的Token管理,JetCache都能帮你轻松应对。希望这篇文章能够帮助你在未来的开发中更加高效地使用Token认证技术。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
一些token无感刷新的思考(附代码)
PleaseBeStrong的博客
05-21 1908
通过该定时器类,可以实现MyTimer.start 方法调用setInterval 间隔delay 时间步执行,判断当前的token过期时间是否小于我们设置的minCheck , 如果小于则使用refreshToken异步刷新token// delay为重复探查的间隔时间 , minCheck是判断token是否是快过期的// 如果存在token,判断是否过期// 假设有一个函数用于获取token的过期时间// 如果剩余时间小于等于5分钟,则异步发送刷新请求并更新token
token过期机制的问题
qq_46940224的博客
10-15 6614
浅谈一下token过期机制的问题
SpringBoot 如何做到无感刷新 token
最新发布
lxw1844912514的博客
05-20 66
不要在失败的时候发送,而是提前检查存在本地的token有没有过期,当检查token过期时间小于一个临界点,则异步调用刷新token方法,更新现有的token信息,此时是不是就解决上面的问题,只要是服务器端gateway拦截到token失效的请求我都要求重新登录。半天这token解析不了就很奇怪了,后面在网上查阅资料的过程中总结出来,由于后端生成的token是通过jjwt这个依赖实现的,对于不同的库底层的编码实现逻辑会有差异导致a库加密生成的token并不能完全被b库的方法来解密。
SpringBoot+Redis】实现多端登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权(角色和权限校验)
weixin_43165220的博客
12-22 6877
SpringBoot+Redis】实现多端登录、防止重复登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权。将登录相关、退出、token相关的这些操作,全部抽出来,放到一个自定义的@Component组件中,在这里实现具体过程,其他地方我们不用关心实现步骤,只需要直接调用这里面的相关方法就行。鉴权相关将角色和角色对应的权限放到缓存中,每次请求时在拦截器里从缓存中拿到角色和权限进行校验。
如何做到无感刷新Token?
良月柒
02-26 61
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 5分钟。来自:juejin.cn/post/7316797749517631515为什么需要无感刷新Token?「最近浏览到一个文章里面的提问,是这样的:」当我在系统页面上做业务操作的时候会出现突然闪退的情况,然后跳转到登录页面需要重新登录系统,系统使用了Redis做缓存来存储用户ID,和用户的token信息,这是什么问题呢?...
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java如何做到无感知刷新token含示例代码(值得珍藏)
a342874650的专栏
01-18 1534
在系统页面进行业务操作时,有时会突然遇到应用闪退,并被重定向至登录页面,要求重新登录。此问题的出现,通常与系统中用于存储用户ID和token信息的Redis缓存有关。具体来说,这可能是由于token过期所导致的身份验证失效。 要解决这个问题,可以采用两种策略:一是自动刷新token,二是token续约。通过在验证用户权限的同时为用户生成新的token并返回给客户端,可以确保客户端及时更新本地存储的token。此外,设置定时任务来刷新token也是一个有效的方法。
Springboot整合之Shiro和JWT技术实现无感刷新
qq_67801847的博客
09-22 923
一、Shiro简介Shiro是Java领域非常知名的认证()与授权 ()框架,用以替代JavaEE中的JAAS功能。相 较于其他认证与授权框架,Shiro设计的非常简单,所以广受好 评。任意JavaWeb项目都可以使用Shiro框架,而Spring Security 必须要使用在Spring项目中。所以Shiro的适用性更加广泛。像什么JFinal和Nutz非Spring框架都可以使用Shiro,而不能使用框架。1.1什么是认证?
SpringBoot - JWT实现登录刷新token
起风
09-27 7489
1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。简答理解就是一个身份凭证,用于服务识别。 JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证。这种特性使其在分布式场景,更便于扩展使用。 2. JWT组成部分 JWT有三部分组成,头部(header),载荷(payload),是签名(signature)。 头部 头部主要声明了类型(jwt),以及使用的加密算法( HMAC SHA256) 载荷 载荷就是存放
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Boot 实现一人一号与无感刷新 JWT 认证系统
weixin_39777492的博客
05-07 467
一人一号认证:确保每个用户同一时间只能在一个设备登录,新设备登录会踢掉旧设备无感刷新 Token:在用户 Token 过期时,自动刷新 Token 保持用户会话连续性基于 JWT 和 Redis:使用 JWT 实现无状态认证,借助 Redis 存储用户登录状态和权限信息本文详细介绍了如何使用 Spring Boot 3、Spring Security 6、JWT 和 Redis 实现一个安全高效的用户认证系统。一人一号认证:确保每个用户同一时间只能在一个设备登录无感刷新 Token
token实现无感刷新
qq_63431773的博客
09-12 1046
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
springboot 整合JWT token验证机制
AnalogElectronic的博客
09-22 339
一、登录成功后返回tokentoken里包含用户的基本信息 二、调用其他接口时须带上token 怎么实现的呢? 1、引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.2</version>
Spring-Boot-14-理解Token实现机制
SpriCoder的博客
04-24 1058
Spring-Boot-14-理解Token实现机制
Token刷新机制:通过refreshToken实现无感续期是什么
02-26
<think>好的,我现在需要解释用户提到的“Token刷新机制:通过refreshToken实现无感续期”是什么。用户之前询问了微信小程序手机号短信登录的后端实现,现在想深入理解其中的Token刷新机制。 首先,用户可能已经了解JWT的基本使用,比如生成Token验证。现在他们想知道如何在不重新登录的情况下延长用户的认证有效期,这就是refresh token的作用。我需要确保解释清楚这个概念,以及为什么需要它。 接下来,我得考虑用户可能的背景。他们可能正在开发一个需要用户长时间保持登录的应用,比如移动应用或Web应用,而频繁要求用户重新登录会影响体验。所以,无感续期是关键点,需要强调refresh token如何实现这一点。 然后,我需要解释refresh token的工作原理。通常,访问令牌(access token)有较短的有效期,比如几小时,而刷新令牌(refresh token)有效期更长,可能几天或几周。当access token过期时,客户端使用refresh token请求新的access token,而无需用户再次输入凭证。 用户可能关心安全性问题,比如如何防止refresh token被盗用。我需要提到一些安全措施,比如HTTPS传输、存储安全(如HttpOnly cookies)、refresh token的撤销机制,以及限制使用次数等。 另外,用户可能想知道具体的实现步骤,比如如何在Spring Boot实现这个机制。虽然用户没有直接问代码,但给出一些实现要点会更好,比如生成两个token验证refresh token的有效性、黑名单处理等。 还要考虑可能的疑问点,比如为什么不用延长access token的有效期来替代refresh token。这时候需要解释安全性的权衡,较短的access token有效期减少泄露后的风险,而refresh token的存在使得在保持用户体验的同时提高安全性。 最后,总结一下refresh token机制的优点,比如提升用户体验、增强安全性,以及实现中的注意事项,如安全存储和传输、定期更换refresh token等。 可能需要用简单的例子或流程图来帮助理解,但用户目前只需要文字解释。需要确保语言简洁明了,结构清晰,分点说明,让用户容易理解整个过程和关键点。</think>以下是 **Token刷新机制(Refresh Token)** 的详细说明,通过`refreshToken`实现无感续期的核心逻辑和安全设计: --- ### **一、为什么需要Refresh Token?** 1. **安全问题**: Access Token(访问令牌)通常设置较短有效期(如2小时),即使泄露,攻击者也只能短暂使用。 2. **用户体验**: 用户无需频繁重新登录,通过Refresh Token自动续期Access Token实现“无感知”登录。 --- ### **二、核心流程** 1. **首次登录** - 用户通过验证码登录成功 - 后端返回两个Token: ```json { "accessToken": "xxxx", // 短期有效(如2小时) "refreshToken": "yyyy", // 长期有效(如7天) "expiresIn": 7200 // Access Token剩余秒数 } ``` 2. **Access Token过期后** - 前端检测到Access Token失效 - 携带`refreshToken`请求后端接口 `/token/refresh` - **后端验证refreshToken有效性** → 生成新`accessToken` → 返回新Token 3. **Refresh Token过期后** - 用户需要重新登录(如输入密码或短信验证码) --- ### **三、关键安全设计** 1. **存储隔离** - **Access Token**:存客户端内存(如Vuex/React状态),**不持久化** - **Refresh Token**:存安全位置(如HttpOnly Cookie或加密的本地存储) 2. **传输安全** - 所有Token传输必须走HTTPS - Refresh Token接口需额外校验来源IP或设备指纹 3. **刷新限制** - 每个Refresh Token**只能用一次**(刷新后立即失效,生成新Refresh Token) - 限制同一Refresh Token刷新频率(如5分钟内最多刷新10次) 4. **黑名单机制** - 用户主动登出时,将未过期的Refresh Token加入Redis黑名单 - 每次刷新时校验Refresh Token是否在黑名单中 --- ### **四、代码实现示例(Spring Boot)** #### 1. 登录接口返回双Token ```java @PostMapping("/login/sms") public Result login(@RequestParam String phone, @RequestParam String code) { // ...验证码校验逻辑 // 生成AccessToken和RefreshToken String accessToken = JwtUtil.generateToken(user, 7200); // 2小时 String refreshToken = JwtUtil.generateToken(user, 604800); // 7天 // 将refreshToken存入数据库或Redis(关联用户ID) redisTemplate.opsForValue().set("refresh:"+user.getId(), refreshToken, 7, TimeUnit.DAYS); return Result.ok() .put("accessToken", accessToken) .put("refreshToken", refreshToken) .put("expiresIn", 7200); } ``` #### 2. Token刷新接口 ```java @PostMapping("/token/refresh") public Result refreshToken(@RequestParam String refreshToken) { // 1. 解析refreshToken获取用户ID Claims claims = JwtUtil.parseToken(refreshToken); Long userId = Long.parseLong(claims.getSubject()); // 2. 校验Redis中的refreshToken是否匹配 String storedToken = redisTemplate.opsForValue().get("refresh:" + userId); if (storedToken == null || !storedToken.equals(refreshToken)) { throw new SecurityException("无效的Refresh Token"); } // 3. 生成新Token,并使旧Refresh Token失效 String newAccessToken = JwtUtil.generateToken(userId, 7200); String newRefreshToken = JwtUtil.generateToken(userId, 604800); // 更新Redis中的Refresh Token redisTemplate.opsForValue().set("refresh:"+userId, newRefreshToken, 7, TimeUnit.DAYS); return Result.ok() .put("accessToken", newAccessToken) .put("refreshToken", newRefreshToken) .put("expiresIn", 7200); } ``` --- ### **五、附加安全措施** 1. **Refresh Token绑定设备** - 生成时记录设备指纹(如IP+User-Agent哈希值),刷新时校验一致性 2. **自动过期清理** - 使用Redis自动过期特性,避免长期未使用的Refresh Token残留 3. **监控告警** - 检测异常高频刷新请求(如1分钟内刷新10次以上),触发风控拦截 --- ### **六、对比方案** | 方案 | 优点 | 缺点 | |---------------------|--------------------------|------------------------------| | 单纯延长Access Token| 实现简单 | 安全性低,泄露后影响时间长 | | Refresh Token机制 | 安全性高,用户体验好 | 实现复杂度略高 | | 滑动过期 | 无感续期 | 需维护会话状态,不适合分布式 | --- 通过这种设计,**用户在Access Token过期后无需手动操作**,系统自动完成令牌刷新,同时兼顾了安全性和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值