快捷導(dǎo)航

SpringBoot?jwt的token如何刷新

更新時(shí)間：2023年07月13日 08:40:13 作者：azuredragonz

這篇文章主要給大家介紹了關(guān)于SpringBoot?jwt的token如何刷新的相關(guān)資料,Json web token(JWT)是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn),需要的朋友可以參考下

1、為什么要刷新Token的過期時(shí)間？

Token都有過期時(shí)間。那么問題來了，假設(shè)Token過期時(shí)間為15天，用戶在第14天的時(shí)候，還可以免登錄正常訪問系統(tǒng)。但是到了第15天，用戶的Token過期，于是用戶需要重新登錄系統(tǒng)。

HttpSession的過期時(shí)間比較優(yōu)雅，默認(rèn)為15分鐘。如果用戶連續(xù)使用系統(tǒng)，只要間隔時(shí)間不超過15分鐘，系統(tǒng)就不會(huì)銷毀HttpSession對(duì)象。JWT的令牌過期時(shí)間能不能做成HttpSession那樣超時(shí)時(shí)間，只要用戶間隔操作時(shí)間不超過15天，系統(tǒng)就不需要用戶重新登錄系統(tǒng)。實(shí)現(xiàn)這種效果的方案有兩種：雙Token和Token緩存，這里重點(diǎn)講一下Token緩存方案。

Token緩存方案是把Token緩存到Redis，然后設(shè)置Redis里面緩存的Token過期時(shí)間為正常Token的1倍,然后根據(jù)情況刷新Token的過期時(shí)間。

1、Token失效，緩存也不存在的情況

當(dāng)?shù)?5天，用戶的Token失效以后，我們讓Shiro程序到Redis查看是否存在緩存的Token，如果這個(gè)Token不存在于Redis里面，就說明用戶的操作間隔了15天，需要重新登錄。

2、Token失效，但是緩存還存在的情況

如果Redis中存在緩存的Token，說明當(dāng)前Token失效后，間隔時(shí)間還沒有超過15天，不應(yīng)該讓用戶重新登錄。所以要生成新的Token返回給客戶端，并且把這個(gè)Token緩存到Redis里面，這種操作成為刷新Token過期時(shí)間。

2、客戶端如何更新令牌？

在我們的方案中，服務(wù)端刷新Token過期時(shí)間，其實(shí)就是生成一個(gè)新的Token給客戶端。那么客戶端怎么知道這次響應(yīng)帶回來的Token是更新過的呢？這個(gè)問題很容易解決。

只要用戶成功登陸系統(tǒng)，當(dāng)后端服務(wù)器更新Token的時(shí)候，就在響應(yīng)中添加Token?？蛻舳四沁吪袛嗝看蜛jax響應(yīng)里面是否包含Token，如果包含，就把Token保存起來就可以了。

3、如何在響應(yīng)中添加令牌？

我們定義OAuth2Filter類攔截所有的HTTP請(qǐng)求，一方面它會(huì)把請(qǐng)求中的Token字符串提取出來，封裝成對(duì)象交給Shiro框架；另一方面，它會(huì)檢查Token的有效性。如果Token過期，那么會(huì)生成新的Token，分別存儲(chǔ)在ThreadLocalToken和Redis中。

之所以要把新令牌保存到ThreadLocalToken里面，是因?yàn)橐?code>AOP切面類傳遞這個(gè)新令牌。雖然OAuth2Filter中有doFilterInternal()方法，我們可以得到響應(yīng)并且寫入新令牌。但是這個(gè)做非常麻煩，首先我們要通過IO流讀取響應(yīng)中的數(shù)據(jù)，然后還要把數(shù)據(jù)解析成JSON對(duì)象，最后再放入這個(gè)新令牌。如果我們定義了AOP切面類，攔截所有Web方法返回的R對(duì)象，然后在R對(duì)象里面添加新令牌，這多簡(jiǎn)單啊。但是OAuth2Filter和AOP切面類之間沒有調(diào)用關(guān)系，所以我們很難把新令牌傳給AOP切面類。

這里我想到了ThreadLocal，只要是同一個(gè)線程，往ThreadLocal里面寫入數(shù)據(jù)和讀取數(shù)據(jù)是完全相同的。在Web項(xiàng)目中，從OAuth2Filter到AOP切面類，都是由同一個(gè)線程來執(zhí)行的，中途不會(huì)更換線程。所以我們可以放心的把新令牌保存都在ThreadLocal里面，AOP切面類可以成功的取出新令牌，然后往R對(duì)象里面添加新令牌即可。

ThreadLocalToken是我自定義的類，里面包含了ThreadLocal類型的變量，可以用來保存線程安全的數(shù)據(jù)，而且避免了使用線程鎖。