快捷導(dǎo)航

java中實(shí)現(xiàn)token過期失效超時(shí)

更新時(shí)間：2023年10月06日 11:19:44 作者：mob649e81673fa5

在Java應(yīng)用程序中,為了確保安全性和保護(hù)用戶數(shù)據(jù),一種常見的做法是使用Token進(jìn)行身份驗(yàn)證和授權(quán),Token是由服務(wù)器生成的具有一定時(shí)效的令牌,用于識(shí)別和驗(yàn)證用戶身份,當(dāng)Token失效后,用戶將無法再進(jìn)行相關(guān)操作,從而提高系統(tǒng)的安全性

在Java應(yīng)用程序中，為了確保安全性和保護(hù)用戶數(shù)據(jù)，一種常見的做法是使用Token進(jìn)行身份驗(yàn)證和授權(quán)。Token是由服務(wù)器生成的具有一定時(shí)效的令牌，用于識(shí)別和驗(yàn)證用戶身份。Token失效是一種常見的安全手段，用于保護(hù)用戶的身份和數(shù)據(jù)安全。當(dāng)Token失效后，用戶將無法再進(jìn)行相關(guān)操作，從而提高系統(tǒng)的安全性。

技術(shù)選型

本項(xiàng)目方案將使用以下技術(shù)來實(shí)現(xiàn)Token的失效功能：

    Spring Boot：用于構(gòu)建Java Web應(yīng)用程序。
    JWT（JSON Web Token）：用于生成和驗(yàn)證Token。
    Redis：用于存儲(chǔ)Token和相關(guān)信息。
    Spring AOP（面向切面編程）：用于實(shí)現(xiàn)Token失效的切面邏輯。

實(shí)現(xiàn)步驟

步驟1：生成Token

首先，我們需要生成一個(gè)Token，用于標(biāo)識(shí)用戶的身份信息?？梢允褂肑ava的JWT庫(kù)來生成Token，以下是示例代碼：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
public class TokenUtil {
  private static final String SECRET_KEY = "your_secret_key";
  public static String generateToken(String userId) {
    return Jwts.builder()
      .setSubject(userId)
      .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
      .compact();
  }
}
-----------------------------------

在上面的代碼中，generateToken方法接收一個(gè)userId參數(shù)，并使用JWT庫(kù)生成一個(gè)Token，然后返回給調(diào)用方。請(qǐng)注意，SECRET_KEY是用于對(duì)Token進(jìn)行簽名的密鑰，需要保密。

步驟2：驗(yàn)證Token有效性

為了在用戶請(qǐng)求到達(dá)時(shí)快速驗(yàn)證Token的有效性，可以使用Redis存儲(chǔ)Token和相關(guān)信息。在Spring Boot應(yīng)用程序中，可以使用以下代碼將Token存儲(chǔ)到Redis中：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
public class TokenUtil {
  // ...
  public static boolean validateToken(String token) {
    try {
      Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
      return true;
    } catch (Exception e) {
      return false;
    }
  }
}
-----------------------------------

在上面的代碼中，validateToken方法接收一個(gè)Token參數(shù)，使用JWT庫(kù)對(duì)Token進(jìn)行解析和驗(yàn)證。如果解析和驗(yàn)證成功，說明Token有效，返回true；否則，返回false。

步驟3：失效Token

當(dāng)用戶需要退出登錄或者一段時(shí)間內(nèi)沒有進(jìn)行任何操作時(shí)，我們需要將Token失效，從而保證用戶的安全。以下是示例代碼：

使用Spring AOP可以實(shí)現(xiàn)在每個(gè)請(qǐng)求中驗(yàn)證Token的有效性，并在Token失效時(shí)進(jìn)行相應(yīng)的處理。在Spring Boot應(yīng)用程序中，可以使用以下代碼實(shí)現(xiàn)Token失效切面：

import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;
public class TokenUtil {
  // ...
  private static Map<String, String> invalidatedTokens = new ConcurrentHashMap<>();
  public static void invalidateToken(String token) {
    invalidatedTokens.put(token, token);
  }
  public static boolean isTokenInvalidated(String token) {
    return invalidatedTokens.containsKey(token);
  }
}
-----------------------------------

步驟4：處理失效邏輯

最后，我們需要在系統(tǒng)的某個(gè)位置，例如在每個(gè)請(qǐng)求的攔截器中，判斷Token是否失效，并進(jìn)行相應(yīng)的處理邏輯。以下是示例代碼：

在需要使用Token的接口上，可以使用自定義注解@TokenRequired來標(biāo)識(shí)該接口需要進(jìn)行Token驗(yàn)證。例如：

import javax.servlet.http.HttpServletRequest;
public class TokenInterceptor {
  // ...
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    String token = request.getHeader("Authorization");
    if (token != null && !TokenUtil.isTokenInvalidated(token)) {
      // Token有效，繼續(xù)處理業(yè)務(wù)邏輯
      return true;
    } else {
      // Token無效，返回錯(cuò)誤信息
      response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
      return false;
    }
  }
}
-----------------------------------

在上面的代碼中，我們從請(qǐng)求頭中獲取Token，并使用TokenUtil.isTokenInvalidated方法判斷Token是否失效。如果Token有效，我們繼續(xù)處理業(yè)務(wù)邏輯，如果Token無效，我們返回未授權(quán)的錯(cuò)誤信息。