JWT 过期后 自动刷新方案

原创 已于 2024-12-09 09:34:03 修改 · 2.9k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #Token 刷新与管理 #jwt

于 2024-11-15 16:05:41 首次发布

JWT(JSON Web Token)广泛应用于现代 Web 开发中的认证与授权,它以无状态、灵活和高效的特点深受开发者欢迎。然而,JWT 的一个核心问题是 Token 过期后如何处理。本文将总结常见的解决方案,分析其优缺点,并帮助开发者选择适合自己项目的方案。

JWT 过期问题的挑战
  1. 安全性:如果 Token 长时间有效,泄露后可能导致严重的安全问题;短时间有效则需要频繁刷新。
  2. 无状态性:JWT 通常是无状态的,如何在不依赖后端存储的情况下管理过期 Token 成为难点。
  3. 刷新机制:如何设计高效、安全的 Token 刷新机制,避免用户频繁登录体验不佳。

解决方案

方案一:双 Token 模式(Access Token + Refresh Token)
设计思路
  • 使用两个 Token:
    1. Access Token:短生命周期(如 15 分钟)。
    2. Refresh Token:长生命周期(如 7 天)。
  • 客户端使用 Access Token 请求资源;当 Access Token 过期时,使用 Refresh Token 获取新的 Access Token 和 Refresh Token。
优点
  • 高安全性:Access Token 即使泄露,时间窗口较短,风险可控。
  • 客户端和服务器可以协同管理 Refresh Token,有效防止重复使用攻击。
缺点
  • 客户端实现复杂度较高,需要管理两个 Token。
  • 需要额外的接口和逻辑处理 Refresh Token。
适用场景
  • 对安全性要求较高的系统,如金融、支付平台。
核心代码

后端接口验证 Refresh Token 并生成新 Token:

@PostMapping("/refresh-token")
public ResponseEntity<?> refreshToken(@RequestBody Map<String, String> tokens) {
    String refreshToken = tokens.get("refreshToken");

    if (!jwtUtil.checkToken(refreshToken)) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid Refresh Token");
    }

    Map<String, String> claims = jwtUtil.decode(refreshToken);
    String newAccessToken = jwtUtil.generateJwtToken(claims.get("username"), claims.get("userId"));
    String newRefreshToken = jwtUtil.generateRefreshToken(claims.get("username"), claims.get("userId"));

    return ResponseEntity.ok(Map.of("accessToken", newAccessToken, "refreshToken", newRefreshToken));
}
方案二:固定 Session ID + Token
设计思路
  • 后端生成唯一的 Session ID 并与 Token 关联,将会话信息(如 Token 状态、用户信息)存储到 Redis 或数据库。
  • 客户端请求时,携带 Session ID 和 Token,后端验证会话状态和 Token。
优点
  • 可灵活控制会话状态,支持主动使某些 Session 失效。
  • 后端可以精细化管理 Token 状态,无需频繁解析 JWT 签名。
缺点
  • 依赖 Redis 或数据库存储会话信息,增加系统复杂度。
  • 不完全无状态,分布式部署时需要额外处理会话同步。
适用场景
  • 用户登录频繁、对会话状态要求高的系统。
核心代码
// 从 Redis 获取会话信息并验证 Token
SessionInfo sessionInfo = redisUtil.get("session_" + sessionId, SessionInfo.class);
if (sessionInfo == null || !sessionInfo.getToken().equals(token)) {
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Session Invalid");
}

// Token 过期时刷新
if (jwtUtil.isTokenExpired(token)) {
    String newToken = jwtUtil.generateJwtToken(sessionInfo.getUsername(), sessionInfo.getUserId());
    sessionInfo.setToken(newToken);
    redisUtil.set("session_" + sessionId, sessionInfo);
    return ResponseEntity.ok(Map.of("newToken", newToken));
}
方案三:Token 无状态 + 客户端定时刷新
设计思路
  • Token 完全无状态,仅存储签名信息和过期时间。
  • 客户端定期检查 Token 的有效期,并在即将过期时主动请求刷新。
优点
  • 无需后端存储任何会话信息,完全无状态。
  • 简单高效,适合分布式系统。
缺点
  • 客户端需要管理 Token 刷新逻辑,增加复杂度。
  • 无法主动失效某个用户会话(如强制下线)。
适用场景
  • 轻量级或低安全需求的系统,如小型工具或内部系统。
核心代码

客户端定时检查并刷新:

function checkTokenExpiry() {
    const token = localStorage.getItem('accessToken');
    const payload = JSON.parse(atob(token.split('.')[1]));
    const expiryTime = payload.exp * 1000;

    if (Date.now() > expiryTime - 5 * 60 * 1000) { // 提前 5 分钟刷新
        refreshToken();
    }
}

function refreshToken() {
    const refreshToken = localStorage.getItem('refreshToken');
    fetch('/refresh-token', {
        method: 'POST',
        body: JSON.stringify({ refreshToken }),
        headers: { 'Content-Type': 'application/json' }
    })
    .then(response => response.json())
    .then(data => {
        localStorage.setItem('accessToken', data.accessToken);
        localStorage.setItem('refreshToken', data.refreshToken);
    });
}
方案四:Hybrid Token(混合 Token)
设计思路
  • 将部分会话信息存储到 Token 中,而状态信息(如是否过期)存储在 Redis。
  • Token 验证时仅检查无状态部分,必要时从 Redis 获取状态信息。
优点
  • 兼顾无状态性和灵活性。
  • 后端可动态管理会话状态,同时减少频繁访问存储。
缺点
  • 实现较复杂,适合对性能要求较高的场景。
适用场景
  • 高并发、大规模分布式系统,如社交平台、内容分发系统。

方案对比

方案优点缺点适用场景
双 Token 模式高安全性;支持长生命周期管理增加客户端复杂度金融、支付等高安全系统
Session ID + Token灵活控制会话状态,支持主动失效依赖 Redis 或数据库存储登录频繁的系统
无状态 Token完全无状态,简单高效客户端复杂度高,无法主动失效内部工具、轻量级系统
Hybrid Token兼顾性能和灵活性实现复杂高并发分布式系统

结语

不同的方案适用于不同的场景,开发者在选择方案时需要考虑:

  1. 安全性:是否需要强安全性保障,如支持主动失效。
  2. 性能:是否需要减少后端存储依赖或高效处理。
  3. 复杂度:是否愿意增加客户端和后端的实现复杂性。

在实际开发中,可以结合业务需求和技术条件选择最适合的方案,甚至进行多方案组合,实现性能与安全的平衡。

token超时刷新策略
bieber007的博客
09-14 4044
需求分析 我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。我们通常会遇到一个这样的问题:在有效期内用户携带token访问没问题,当过了有效期后token失效,用户需要重新登录获取新的token。当token时间设置得很短,假如只有10分钟,那么用户当问期间每隔10分钟就要重新登录一次,这样对于用户来说是比较差的体验。 一个App鉴权流程(token刷新机制): 1.活跃的用户应该在无感知的情况下在token失效后获取到新的token,携带这个新的token
JWT刷新token机制
最新发布
chenxuefeng_accp的专栏
06-11 961
本文介绍了JWT(JSON Web Token)的刷新机制及其实现方法。主要内容包括:为什么要使用RefreshToken,其AccessToken的区别,安全建议以及具体代码实现。关键点在于通过短有效期的AccessToken和长有效期的RefreshToken组合,既保障安全性又提升用户体验。文章还提供了SpringBoot后端和Vue3前端的代码示例,并总结了自动续期流程和常见面试问题。实践建议包括将RefreshToken存储于服务器、使用HTTPS以及支持滑动过期等安全措施。
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
程序员闪充宝
09-10 854
大家好,我是宝哥!技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连区别基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服务端的,而JWT是保存在客户端的。认证流程基于session的认证流程用户在浏览器中输入用户名和密码,服务器通过密码校验后生成一个session并保存到数据库服务...
JWT token过期自动续期解决方案
leeta的博客
08-20 4307
在文中给出的例子中,仅实现了登录认证,但是并没有设置token过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
请求时token过期自动刷新token
weixin_33958585的博客
11-08 1万+
1.在开发过程中,我们都会接触到tokentoken的作用是什么呢?主要的作用就是为了安全,用户登陆时,服务器会随机生成一个有时效性的token,用户的每一次请求都需要携带上token,证明其请求的合法性,服务器会验证token,只有通过验证才会返回请求结果。 2.当token失效时,现在的网站一般会做两种处理,一种是跳转到登陆页面让用...
JWT(无状态token过期自动刷新流程详解
大西瓜超帅
09-07 3329
JWT(无状态token过期自动刷新 步骤: 通过过滤器拦截用户请求接口、判断header是否携带有token、没有携带的话返回提示直接写入response 响应前端。 携带了token的话我们自定义shiro 用户认证的 UsernamePasswordToken 把前端携带过来的业务访问token(accessToken) 整合成一个 UsernamePasswordToken。 主体提交认证(getSubject(servletRequest,servletResponse).login(cust
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器会生成一个带有时效性的`token...
Android OkHttp实现全局过期token自动刷新示例
01-20
本文将探讨如何使用OkHttp库来实现全局过期token自动刷新,以便在用户无感知的情况下完成这一过程。 首先,我们需要理解`token`和`cookie`的区别。`cookie`是服务器发送给浏览器的一小段数据,存储在用户的本地...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
JWT 讲解 token 过期自动续期解决方案
m0_55613022的博客
06-06 1534
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。使用token的好处: 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一
JWT token过期自动续期解决方案
热门推荐
chen子健
08-29 5万+
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。 token token就是后端生成的JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证。 token过期...
jwttoken如何刷新
小青龙,创造,变强
02-27 4984
jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新
jwt token 过期刷新_JWT Token 刷新和作废
weixin_39581652的博客
11-23 1万+
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天不用重复登录超过30天没有访问网站则...
jwt token 过期刷新_SpringSecurity整合JWT
weixin_39691748的博客
12-03 1613
一、前言  最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。二、什么是JWT  JSON Web TokenJWT)是一个开放标准(RFC 7519),...
Jwt Token刷新机制设计
dotNET跨平台
03-21 2245
Jwt Token刷新机制设计Intro前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 t...
JWT登录过期-自动刷新token方案介绍
rdhj5566的专栏
07-14 1万+
在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在⽤户操作页⾯期间,突然提⽰登录,则体验很不友好,所以就有了token⾃动刷新需求。但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去中⼼化,⽆状态化,所以有所违背类似这样的业务,有阿⾥云⾸页,没有做token刷新令牌维护,但是符合对应的思想⽤户登录成功的时候,⼀次性给他两个Token,分别为AccessToken和RefreshTokenAccessToken有效期较短,
jwt token 过期刷新_.NET Core 2.2 应用JWT进行用户认证及Token刷新
weixin_39795268的博客
12-01 838
本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token刷新方案一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声明。它是基于JSON的,所以它也像json一样可以在.Net、JAVA、JavaScript,、PHP等多种语言使用。为什...
Jwt刷新过期时间
03-14
<think>好的,我现在要解决用户关于如何刷新JWT过期时间的问题。首先,我需要回忆一下JWT的基本结构和工作原理。JWT通常由头部、载荷和签名三部分组成,其中载荷部分包含了一些声明,比如过期时间(exp)。当客户端携带JWT访问服务端时,服务端会验证签名是否有效以及过期时间是否已到。 接下来,用户提到的刷新机制,常见的方法有两种:被动刷新和主动刷新。被动刷新的话,可能是在每次请求时检查token是否快要过期,如果是的话就生成新的token并返回给客户端。而主动刷新可能需要使用refresh token,这个refresh token过期时间更长,客户端可以用它来获取新的access token。 根据引用中的内容,用户提到了类似OAuth2的方案,使用refresh token来主动刷新JWT。这可能更安全,因为access token的寿命较短,即使泄露,影响时间也有限。而refresh token需要更严格的保护,比如存储在安全的httpOnly cookie中,防止被窃取。 另外,用户的问题中还提到,当token过期时间设置过短时,频繁重新登录会影响用户体验。所以需要一种机制在用户活跃时自动延长token的有效期,或者允许使用旧的token换取新的token,而无需重新登录。 需要验证一下,如果使用旧的token刷新,是否存在安全风险。比如,如果攻击者获取了一个即将过期token,是否可以利用这一点来刷新获取新的token。这可能需要在服务端记录token的状态,或者设置刷新时间窗口,只有在特定时间内才能刷新。 还要考虑实现细节,比如如何在响应头中返回新的token,客户端如何自动替换旧的token。可能需要前端配合,在收到新的token后更新本地存储或cookie中的值。 此外,引用中提到的方案比较,用户可能想知道哪种方式更优。被动刷新实现简单,但可能增加每次请求的检查开销;主动刷新需要维护refresh token,增加了复杂性,但更安全。 最后,综合这些信息,整理出几种可行的方案,并说明它们的优缺点和实现步骤,确保用户能够根据自身需求选择合适的策略。</think>### JWT Token刷新机制实现方法 JWT Token刷新主要通过以下两种方式实现: #### 1. 被动刷新(滑动过期时间) 在每次请求时检查token剩余有效期,若未过期但接近失效则生成新token: ```javascript // 服务端验证逻辑示例 function verifyToken(token) { const decoded = jwt.verify(token, SECRET); const now = Date.now()/1000; if (decoded.exp - now < 30*60) { // 剩余时间小于30分钟 const newToken = generateNewToken(decoded.userId); response.setHeader('New-Token', newToken); } return decoded; } ``` *实现步骤*: - 客户端需要检测响应头中的`New-Token`字段 - 收到新token后立即替换旧token - 支持前后端分离架构下的token自动更新 优点:用户体验连续,无需额外登录操作[^3] 缺点:需要客户端配合处理响应头,服务端每次请求需解码验证 #### 2. 主动刷新(双Token机制) 采用access_token + refresh_token组合方案: $$access\_token\_exp = 1小时$$ $$refresh\_token\_exp = 7天$$ 刷新时序图: ``` 客户端 │ 携带过期access_token ▼ 服务端 → 验证refresh_token有效性 │ 生成新access_token ▲ └─返回新access_token ``` *安全措施*: - refresh_token必须通过HTTPS传输 - 存储于httpOnly Cookie防止XSS攻击 - 服务端维护refresh_token黑名单(可选) 优点:符合OAuth2安全规范,可主动废止刷新令牌[^2] 缺点:需维护token关联关系,增加服务端状态管理 #### 3. 混合刷新策略 结合两种方式的优势方案: - 前端的无感刷新使用被动刷新 - 后端维护refresh_token白名单 - 每次刷新后使旧token立即失效 关键代码实现: ```python # Django示例 def refresh_token(request): old_token = request.COOKIES.get('refresh_token') if not validate_refresh_token(old_token): return HttpResponse(status=401) new_access_token = generate_jwt(exp=3600) new_refresh_token = generate_refresh_token() update_token_mapping(old_token, new_refresh_token) # 使旧refresh_token失效 response = JsonResponse({'access': new_access_token}) response.set_cookie('refresh_token', new_refresh_token, httponly=True) return response ``` ### 关键参数建议值 | 参数类型 | 建议有效期 | 刷新阈值 | |---------|-----------|---------| | access_token | 1-2小时 | 剩余15分钟 | | refresh_token | 7-30天 | 单次使用 | ### 安全注意事项 1. 必须启用HTTPS防止中间人攻击 2. refresh_token应设置`Secure`和`SameSite`属性 3. 建议记录设备指纹增强token绑定 4. 服务端应实现令牌废止接口
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值