快捷導(dǎo)航

java實現(xiàn)token無感刷新+處理并發(fā)的后端方案

更新時間：2024年11月05日 09:22:26 作者：編程就是n踢r

在Web應(yīng)用中,Token用于身份驗證和會話管理,但當(dāng)Token過期時,可能會導(dǎo)致用戶在提交表單或進(jìn)行操作時突然被重定向到登錄頁面,本文就來介紹一下java實現(xiàn)token無感刷新+處理并發(fā)的后端方案,感興趣的可以了解一下

問題描述：

當(dāng)用戶通過登陸后進(jìn)入一個web網(wǎng)站，會把token保存到localStorage。假設(shè)token過期時間30min。

那么當(dāng)用戶在網(wǎng)站快樂地玩耍了30min后，這時進(jìn)行了一次提交表單，它會被重定向到登陸頁面。

作為用戶：我表單填了這么久，點擊提交時讓我重新登陸？我的體驗很不好。

jwt的好處和局限

jwt的好處是：服務(wù)器無需存儲這些登陸的狀態(tài)

而它的局限是：服務(wù)器無法主動地通知用戶“你的token過期了，我重新給你一個”。

如何解決

方案一：雙token

在登陸時我們會生成倆個token

token：表示正常情況下登陸憑證
refresh-token：表示需要刷新情況下登陸憑證

假設(shè)前者（token)設(shè)置過期時間為30min，后者為1天。

流程

time=0min，用戶成功登陸，后端返回倆個token（token和refresh-token)，前端把它倆保存到localStorage
time=10min，用戶進(jìn)行了一次查詢，前端將倆個token都發(fā)給后端，后端檢驗token，有效，返回結(jié)果，用戶很開心！
time=35min，用戶提交了表單，前端還是將倆個token發(fā)給后端；后端檢驗token，過期；檢驗refresh-token，有效，后端認(rèn)為這是要刷新token，生成新的token和refresh-token，成功返回數(shù)據(jù)和雙token。前端把數(shù)據(jù)渲染，把雙token保存。

token正常過期的情況：

當(dāng)然，token可以正常過期，如果在檢驗時refresh-token也過期，那就說明正常過期

假設(shè)time=0min時用戶登陸，time=2天時用戶提交了表單，那么后端認(rèn)為這是正常過期，用戶需要重新登陸。

流程圖如下：

token刷新并發(fā)問題

現(xiàn)在很多登陸是可以多端的，當(dāng)多端并發(fā)都去嘗試刷新token時，會導(dǎo)致token被重復(fù)刷新

方案二：刷新時用分布式鎖

可以引入redis緩存中間件，使用緩存加速并處理并發(fā)刷新問題。

將雙token生成后存入redis。當(dāng)需要刷新token時，采用double-check+獲取關(guān)于refresh-token的分布式鎖來實現(xiàn)。

偽代碼如下：

// 驗證和刷新Token的方法
    public String validateAndRefreshToken(String userId, String accessToken, String refreshToken) {
        String storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);
        String storedRefreshToken = redisTemplate.opsForValue().get(REFRESH_TOKEN_PREFIX + userId);

        // 檢查Access Token是否有效
        if (storedAccessToken != null && storedAccessToken.equals(accessToken)) {
            return accessToken;  // 直接返回原始的Access Token
        }

        // Access Token無效，檢查Refresh Token
        if (storedRefreshToken != null && storedRefreshToken.equals(refreshToken)) {
            // 使用雙層檢查和分布式鎖控制高并發(fā)刷新
            String lockKey = "refresh_lock:" + userId;
            boolean lockAcquired = redisTemplate.opsForValue().setIfAbsent(lockKey, "1", 5, TimeUnit.SECONDS);
            if (lockAcquired) {
                try {
                    // 再次雙層檢查（避免重復(fù)刷新）
                    storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);
                    if (storedAccessToken == null) {
                        // 生成新的Access Token
                        String newAccessToken = generateToken();
                        redisTemplate.opsForValue().set(ACCESS_TOKEN_PREFIX + userId, newAccessToken, 15, TimeUnit.MINUTES);
                        return newAccessToken;
                    } else {
                        return storedAccessToken;  // 直接返回已刷新過的Token
                    }
                } finally {
                    redisTemplate.delete(lockKey);  // 釋放鎖
                }
            } else {
                // 未獲取到鎖，等待其他線程刷新完成，再次獲取已刷新的Access Token
                return redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);
            }
        }

        // 若Refresh Token也無效，返回null或拋出異常，需重新登錄
        throw new TokenInvalidException("Access and Refresh Token both expired.");
    }