快捷導(dǎo)航

SpringBoot無(wú)感刷新Token的實(shí)現(xiàn)示例

更新時(shí)間：2025年07月21日 11:02:36 作者：星辰聊技術(shù)

無(wú)感刷新Token避免會(huì)話過(guò)期導(dǎo)致數(shù)據(jù)丟失,通過(guò)后端動(dòng)態(tài)續(xù)簽或前端主動(dòng)請(qǐng)求,結(jié)合雙Token機(jī)制,實(shí)現(xiàn)身份憑證自動(dòng)更新,感興趣的可以了解一下

背景問(wèn)題：為什么需要無(wú)感刷新？

想象這樣一個(gè)場(chǎng)景：

“我正在后臺(tái)管理系統(tǒng)中錄入數(shù)據(jù)，頁(yè)面突然跳轉(zhuǎn)回登錄界面，之前填寫的內(nèi)容全沒(méi)了！”

這是典型的 Token 到期導(dǎo)致會(huì)話失效 的問(wèn)題，尤其在使用 Redis 等緩存中間件存儲(chǔ) Token 時(shí)尤為常見(jiàn)。

問(wèn)題根源

后端通常通過(guò) JWT 來(lái)實(shí)現(xiàn)無(wú)狀態(tài)身份驗(yàn)證，但 JWT 的缺陷也很明顯：過(guò)期即失效，無(wú)法修改或撤銷。如果不設(shè)計(jì) Token 刷新機(jī)制，用戶體驗(yàn)將大打折扣。

核心策略：Token 無(wú)感續(xù)簽方案概述

方案一：后端自動(dòng)續(xù)期（推薦）

在每次用戶請(qǐng)求時(shí)，后端檢查當(dāng)前 Token 的有效時(shí)間：

若臨近過(guò)期（如小于5分鐘） ，則動(dòng)態(tài)生成一個(gè)新 Token，加入響應(yīng)頭中返回；
前端攔截響應(yīng)頭，若發(fā)現(xiàn)新的 Token，與本地不一致則自動(dòng)更新本地 Token。

方案二：前端主動(dòng)續(xù)簽（補(bǔ)充方案）

前端維護(hù)一對(duì) Token：access_token（短期）+ refresh_token（長(zhǎng)期）；
每隔一段時(shí)間，前端使用 refresh_token 去調(diào)用刷新接口，獲取新的 access_token。

后端實(shí)現(xiàn)細(xì)節(jié)

依賴配置（pom.xml）

<dependencies>
    <dependency>
        <groupId>cn.hutool</groupId>
        <artifactId>hutool-all</artifactId>
        <version>5.5.1</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.33</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>
</dependencies>

JWT 工具類JwtUtil.java

代碼路徑：/src/main/java/com/demo/auth/utils/JwtUtil.java

package com.demo.auth.utils;


import io.jsonwebtoken.*;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.*;


public class JwtUtil {
    public static final long JWT_TTL = 1000L * 60 * 60 * 24; // 24小時(shí)
    public static final String JWT_KEY = "qx";


    public static String createJWT(String subject) {
        return getJwtBuilder(subject, null, UUID.randomUUID().toString().replace("-", "")).compact();
    }


    public static String createJWT(String subject, Long ttlMillis) {
        return getJwtBuilder(subject, ttlMillis, UUID.randomUUID().toString()).compact();
    }


    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        long nowMillis = System.currentTimeMillis();
        long expMillis = (ttlMillis != null ? nowMillis + ttlMillis : nowMillis + JWT_TTL);
        SecretKey secretKey = generalKey();
        return Jwts.builder()
                .setId(uuid)
                .setSubject(subject)
                .setIssuer("icoderoad")
                .setIssuedAt(new Date(nowMillis))
                .setExpiration(new Date(expMillis))
                .signWith(SignatureAlgorithm.HS256, secretKey);
    }


    public static Claims parseJWT(String jwt) throws Exception {
        return Jwts.parser()
                .setSigningKey(generalKey())
                .parseClaimsJws(jwt)
                .getBody();
    }


    public static SecretKey generalKey() {
        byte[] key = Base64.getDecoder().decode(JWT_KEY);
        return new SecretKeySpec(key, 0, key.length, "AES");
    }


    public static Date getExpiration(String jwt) {
        try {
            return parseJWT(jwt).getExpiration();
        } catch (Exception e) {
            throw new RuntimeException("Token 解析失敗", e);
        }
    }
}

Token 攔截與續(xù)簽邏輯

攔截器路徑：/src/main/java/com/demo/auth/interceptor/AuthInterceptor.java

public class AuthInterceptor implements HandlerInterceptor {


    private static final long REFRESH_THRESHOLD = 1000L * 60 * 5; // 剩余5分鐘內(nèi)刷新


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {


        String token = request.getHeader("Authorization");
        if (StringUtils.isEmpty(token)) {
            throw new RuntimeException("未登錄");
        }


        Claims claims = JwtUtil.parseJWT(token);
        long now = System.currentTimeMillis();
        long exp = claims.getExpiration().getTime();


        if (exp - now < REFRESH_THRESHOLD) {
            String newToken = JwtUtil.createJWT(claims.getSubject());
            response.setHeader("X-Token-Refresh", newToken);
        }


        return true;
    }
}

前端處理邏輯（以 Vue + Axios 為例）

前端攔截代碼：

axios.interceptors.response.use(response => {
    const newToken = response.headers['x-token-refresh'];
    if (newToken && newToken !== localStorage.getItem('access_token')) {
        localStorage.setItem('access_token', newToken);
    }
    return response;
}, error => {
    // 處理401
    if (error.response.status === 401) {
        // 可以保存草稿后跳轉(zhuǎn)登錄
    }
    return Promise.reject(error);
});

關(guān)于 AccessToken 和 RefreshToken 的機(jī)制說(shuō)明

類型	用途	特點(diǎn)
AccessToken	攜帶用戶身份，頻繁使用	安全風(fēng)險(xiǎn)高，需短時(shí)過(guò)期
RefreshToken	用于續(xù)簽 AccessToken	不暴露給前端，一般保存在 Cookie 或 HttpOnly

標(biāo)準(zhǔn)雙 Token 模式提升了安全性和用戶體驗(yàn)，避免因 AccessToken 頻繁刷新帶來(lái)的資源浪費(fèi)。

特別討論：表單靜默超時(shí)的處理策略

場(chǎng)景問(wèn)題：

用戶長(zhǎng)時(shí)間填寫表單，沒(méi)有發(fā)出任何請(qǐng)求，點(diǎn)擊提交時(shí)發(fā)現(xiàn) token 已失效，被重定向到登錄頁(yè)，數(shù)據(jù)全丟。

推薦方案：

提交失敗后前端本地緩存表單數(shù)據(jù)；
登錄成功后回顯草稿，確保用戶體驗(yàn)不受損；
或者在用戶輸入行為時(shí)定期心跳請(qǐng)求，觸發(fā)后端續(xù)簽。

總結(jié)

實(shí)現(xiàn)無(wú)感刷新 Token，是用戶體驗(yàn)與安全性協(xié)同優(yōu)化的重要實(shí)踐。通過(guò)后端智能判斷與前端攔截配合，結(jié)合雙 Token 模式或動(dòng)態(tài)續(xù)簽機(jī)制，我們可以實(shí)現(xiàn)：

用戶操作不中斷身份憑證自動(dòng)續(xù)期安全控制粒度更靈活

到此這篇關(guān)于SpringBoot無(wú)感刷新Token的實(shí)現(xiàn)示例的文章就介紹到這了,更多相關(guān)SpringBoot無(wú)感刷新Token內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: