快捷導(dǎo)航

java實(shí)現(xiàn)token無感刷新+處理并發(fā)的后端方案

更新時(shí)間：2024年11月05日 09:22:26 作者：編程就是n踢r

在Web應(yīng)用中,Token用于身份驗(yàn)證和會(huì)話管理,但當(dāng)Token過期時(shí),可能會(huì)導(dǎo)致用戶在提交表單或進(jìn)行操作時(shí)突然被重定向到登錄頁面,本文就來介紹一下java實(shí)現(xiàn)token無感刷新+處理并發(fā)的后端方案,感興趣的可以了解一下

問題描述：

當(dāng)用戶通過登陸后進(jìn)入一個(gè)web網(wǎng)站，會(huì)把token保存到localStorage。假設(shè)token過期時(shí)間30min。

那么當(dāng)用戶在網(wǎng)站快樂地玩耍了30min后，這時(shí)進(jìn)行了一次提交表單，它會(huì)被重定向到登陸頁面。

作為用戶：我表單填了這么久，點(diǎn)擊提交時(shí)讓我重新登陸？我的體驗(yàn)很不好。

jwt的好處和局限

jwt的好處是：服務(wù)器無需存儲(chǔ)這些登陸的狀態(tài)

而它的局限是：服務(wù)器無法主動(dòng)地通知用戶“你的token過期了，我重新給你一個(gè)”。

如何解決

方案一：雙token

在登陸時(shí)我們會(huì)生成倆個(gè)token

token：表示正常情況下登陸憑證
refresh-token：表示需要刷新情況下登陸憑證

假設(shè)前者（token)設(shè)置過期時(shí)間為30min，后者為1天。

流程

time=0min，用戶成功登陸，后端返回倆個(gè)token（token和refresh-token)，前端把它倆保存到localStorage
time=10min，用戶進(jìn)行了一次查詢，前端將倆個(gè)token都發(fā)給后端，后端檢驗(yàn)token，有效，返回結(jié)果，用戶很開心！
time=35min，用戶提交了表單，前端還是將倆個(gè)token發(fā)給后端；后端檢驗(yàn)token，過期；檢驗(yàn)refresh-token，有效，后端認(rèn)為這是要刷新token，生成新的token和refresh-token，成功返回?cái)?shù)據(jù)和雙token。前端把數(shù)據(jù)渲染，把雙token保存。

token正常過期的情況：

當(dāng)然，token可以正常過期，如果在檢驗(yàn)時(shí)refresh-token也過期，那就說明正常過期

假設(shè)time=0min時(shí)用戶登陸，time=2天時(shí)用戶提交了表單，那么后端認(rèn)為這是正常過期，用戶需要重新登陸。

流程圖如下：

token刷新并發(fā)問題

現(xiàn)在很多登陸是可以多端的，當(dāng)多端并發(fā)都去嘗試刷新token時(shí)，會(huì)導(dǎo)致token被重復(fù)刷新

方案二：刷新時(shí)用分布式鎖

可以引入redis緩存中間件，使用緩存加速并處理并發(fā)刷新問題。

將雙token生成后存入redis。當(dāng)需要刷新token時(shí)，采用double-check+獲取關(guān)于refresh-token的分布式鎖來實(shí)現(xiàn)。

偽代碼如下：

// 驗(yàn)證和刷新Token的方法
    public String validateAndRefreshToken(String userId, String accessToken, String refreshToken) {
        String storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);
        String storedRefreshToken = redisTemplate.opsForValue().get(REFRESH_TOKEN_PREFIX + userId);

        // 檢查Access Token是否有效
        if (storedAccessToken != null && storedAccessToken.equals(accessToken)) {
            return accessToken;  // 直接返回原始的Access Token
        }

        // Access Token無效，檢查Refresh Token
        if (storedRefreshToken != null && storedRefreshToken.equals(refreshToken)) {
            // 使用雙層檢查和分布式鎖控制高并發(fā)刷新
            String lockKey = "refresh_lock:" + userId;
            boolean lockAcquired = redisTemplate.opsForValue().setIfAbsent(lockKey, "1", 5, TimeUnit.SECONDS);
            if (lockAcquired) {
                try {
                    // 再次雙層檢查（避免重復(fù)刷新）
                    storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);
                    if (storedAccessToken == null) {
                        // 生成新的Access Token
                        String newAccessToken = generateToken();
                        redisTemplate.opsForValue().set(ACCESS_TOKEN_PREFIX + userId, newAccessToken, 15, TimeUnit.MINUTES);
                        return newAccessToken;
                    } else {
                        return storedAccessToken;  // 直接返回已刷新過的Token
                    }
                } finally {
                    redisTemplate.delete(lockKey);  // 釋放鎖
                }
            } else {
                // 未獲取到鎖，等待其他線程刷新完成，再次獲取已刷新的Access Token
                return redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);
            }
        }

        // 若Refresh Token也無效，返回null或拋出異常，需重新登錄
        throw new TokenInvalidException("Access and Refresh Token both expired.");
    }

方案三：過渡時(shí)間（沒看懂）

到此這篇關(guān)于java實(shí)現(xiàn)token無感刷新+處理并發(fā)的后端方案的文章就介紹到這了,更多相關(guān)java token無感刷新和并發(fā)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: