Spring Boot实现JWT token自动续期的实现
1.为什么要 token自动续期
token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token的过期时间设置的比较短,但是这样会导致用户因为token过期需要频繁登录,因此需要token自动续期。
2.如何实现token自动续期
登录时将token存入redis中,缓存有效期设置为 token有效时间的两倍(比token有效时间长即可)。
//创建token String token = JwtUtil.createToken(sysUser.getId(), user.getUserName()); //将token放入redis中,key为用户的手机号+"token" redisUtil.set(sysUser.getPhone() + GlobalConstant.TOKEN, token, JwtUtil.EXPIRE_TIME*2);
在拦截器中重写public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler)方法
/**
* token自动续期
*
* @param sysUser 用户实体
* @return 是否刷新成功
*/
private boolean refreshToken(SysUser sysUser) {
String token = request.getHeader(GlobalConstant.TOKEN);
String cacheToken = (String) (redisUtil.get(sysUser.getPhone() + GlobalConstant.TOKEN));
//请求头中不存在token,返回false
if (StringUtil.isEmpty(token)) {
logger.error("token不存在");
return false;
}
//用户是否登录只根据redis中token是否存在决定,redis中不存在token,返回false
if (StringUtil.isEmpty(cacheToken)) {
logger.error("用户未登录");
return false;
}
try {
//验证请求头中的token是否合法
JwtUtil.verify(token);
} catch (TokenExpiredException tokenExpiredException) {
/*若抛出token过期异常,检查redis中的是否存在token
如果存在,说明用户仍在操作,只是请求头中的token已经过期,此时需要对token进行续期*/
if (redisUtil.hasKey(sysUser.getPhone() + GlobalConstant.TOKEN)) {
//生成新的token,并以之前的key作为key放入redis中,以此重新刷新redis中的token的过期时间
String newToken = JwtUtil.createToken(sysUser.getId(), sysUser.getUserName());
redisUtil.set(sysUser.getPhone() + GlobalConstant.TOKEN, newToken, JwtUtil.EXPIRE_TIME * 2);
return true;
}
} catch (Exception e) {
//若抛出除token过期异常之外的其他异常,说明该token不合法
logger.error("token不合法");
return false;
}
return true;
}
JwtUtil工具类如下
import com.admin.common.constant.GlobalConstant;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import javax.servlet.http.HttpServletRequest;
import java.util.Calendar;
import java.util.Date;
public class JwtUtil {
/**
* token私钥,不可以暴露
*/
public static final String TOKEN_SECRET_KEY = "tokenSecretKey";
/**
* token过期时间(秒)
*/
public static final int EXPIRE_TIME = 60;
/**
* 创建token
*
* @param userId 用户ID
* @param userName 用户名
* @return token
*/
public static String createToken(Long userId, String userName) {
Calendar calendar = Calendar.getInstance();
calendar.add(Calendar.SECOND, EXPIRE_TIME);
return JWT.create()
//签发对象
.withAudience(userId + "")
//载荷
.withClaim("userName", userName)
//签发时间
.withIssuedAt(new Date())
//有效时间
.withExpiresAt(calendar.getTime())
//加密
.sign(Algorithm.HMAC256(TOKEN_SECRET_KEY));
}
/**
* 验证token合法性
*
* @param token token
* @return token是否合法
*/
public static void verify(String token) {
JWT.require(Algorithm.HMAC256(TOKEN_SECRET_KEY)).build().verify(token);
}
/**
* 通过token获取userId
*
* @return userId
*/
public static Long getUserIdByToken(HttpServletRequest request) {
String token = request.getHeader(GlobalConstant.TOKEN);
String userId = JWT.decode(token).getAudience().get(0);
return Long.valueOf(userId);
}
}
到此这篇关于Spring Boot实现JWT token自动续期的实现的文章就介绍到这了,更多相关Spring Boot JWT token自动续期内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
SpringBoot集成JWT实现token验证的流程
JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息.因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名. JWT请求流程 1. 用户使
-
springboot+jwt实现token登陆权限认证的实现
一 前言 此篇文章的内容也是学习不久,终于到周末有时间码一篇文章分享知识追寻者的粉丝们,学完本篇文章,读者将对token类的登陆认证流程有个全面的了解,可以动态搭建自己的登陆认证过程:对小项目而已是个轻量级的认证机制,符合开发需求: 二 jwt实现登陆认证流程 用户使用账号和面发出post请求 服务器接受到请求后使用私钥创建一个jwt,这边会生成token 服务器返回这个jwt给浏览器 浏览器需要将带有token的jwt放入请求头 每次手到客户端请求,服务器验证该jwt的token 验证成功返回
-
SpringBoot JWT实现token登录刷新功能
目录 1. 什么是JWT 2. JWT组成部分 3. JWT加密方式 4.实战 5.总结 1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.简答理解就是一个身份凭证,用于服务识别. JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证.这种特性使其在分布式场景,更便于扩展使用. 2. JWT组成部分 JWT有三部分组成,头部(header),载荷(payload),是签名(signature). 头
-
SpringBoot集成JWT生成token及校验方法过程解析
GitHub源码地址:https://github.com/zeng-xian-guo/springboot_jwt_token.git 封装JTW生成token和校验方法 public class JwtTokenUtil { //公用密钥-保存在服务端,客户端是不会知道密钥的,以防被攻击 public static String SECRET = "ThisIsASecret"; //生成Troke public static String createToken(String u
-
spring boot+jwt实现api的token认证详解
前言 本篇和大家分享jwt(json web token)的使用,她主要用来生成接口访问的token和验证,其单独结合springboot来开发api接口token验证很是方便,由于jwt的token中存储有用户的信息并且有加密,所以适用于分布式,这样直接吧信息存储在用户本地减速了服务端存储sessiion或token的压力: 如下快速使用: <!--jwt--> <dependency> <groupId>io.jsonwebtoken</groupId>
-
SpringBoot整合JWT Token的完整步骤
目录 背景 一 JWT 消息构成 1.1 组成 1.2 header 1.3 playload 1.4 signature 二 Spring Boot 和 JWT集成实例 2.1 项目依赖 2.2 自定义注解 @JwtToken 2.3 JWT认证工具类 JwtUtil.java 2.4 拦截器拦截带有注解的接口 JwtInterceptor.java 2.5 全局异常捕获 2.6 接口 JwtController.java 2.7 Postman测试接口 2.7.1 在没有token的情况下
-
SpringBoot整合JWT框架,解决Token跨域验证问题
一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3.服务器向返回sessionId,写入客户端 Cookie. 4.客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器. 5.服务器收到 sessionId,验证客户端. 2.存在问题 1.session保存在服务端,客户端访问高并发时,服务端压力大. 2.扩展性差,服务器集群,就需要 session 数据共享. 二.JWT简介 JWT
-
基于springboot+jwt实现刷新token过程解析
前一段时间讲过了springboot+jwt的整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码! 1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下token是否过期,如果没有过期就刷新token的时间为30min,反之则会重新登录,需要注意的是这种方式
-
Spring Boot实现JWT token自动续期的实现
1.为什么要 token自动续期 token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token的过期时间设置的比较短,但是这样会导致用户因为token过期需要频繁登录,因此需要token自动续期. 2.如何实现token自动续期 登录时将token存入redis中,缓存有效期设置为 token有效时间的两倍(比token有效时间长即可). //创建token String token = JwtUtil.createToken(sysUser.getId(), user.
-
SpringBoot实现JWT token自动续期的示例代码
为什么要 token自动续期 token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token的过期时间设置的比较短,但是这样会导致用户因为token过期需要频繁登录,因此需要token自动续期. //创建token String token = JwtUtil.createToken(sysUser.getId(), user.getUserName()); //将token放入redis中,key为用户的手机号+"token" redisUtil.set(sys
-
SpringSecurity Jwt Token 自动刷新的实现
功能需求 最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统.如果用户一直访问系统,那么还需要自动延长 token 的过期时间. 功能分析 1.token 的生成 使用现在比较流行的 jwt 来生成. 2.token 的自动延长 要实现 token 的自动延长,系统给用户 颁发 一个 token 无法实现,那么通过变通一个,给用户生成 2个 t
-
Spring Boot 整合 JWT的方法
1.JWT 是什么? JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法.JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名. 简单来说,就是通过一定规范来生成 token,然后可以通过解密算法逆向解密 token,这样就可以获取用户信息. 优点: 1)生产的 token 可以包含基本信息,比如 id.用户昵称.头像等信息,避免再次查库 2)存储在客户端,不占用服务端的内存资源 缺点: token 是经过 base6
-
Spring Boot整合JWT的实现步骤
springboot整合jwt步骤: 1.登录时,验证账号和密码成功后,生成jwt,返回给前端: 2.前端接收后保存,再做其他操作,比如增删改查时,同时将jwt传给后端进行验证,如果jwt当做参数一起传给后端,那么每个操作都会有jwt,为了方便,把jwt放到请求头中,通过拦截器来验证. 代码 代码结构图如下,除了常规的controller.entity.mapper和service层,还有两个拦截器和注册拦截器,图中用红字进行注释(这篇文章稍微有点长,因为我把代码都放上来了,结合下边的思路和结构
-
Spring Boot 集成JWT实现前后端认证的示例代码
目录 前言 JWT简介 为什么要用JWT 传统session认证存在那些弊端? JWT认证的优势 JWT的数据结构 Header Payload Signature Spring Boot集成JWT 引入Jwt包 编写jwt工具类 Token认证拦截器 配置拦击器 登录验证流程 示例代码 总结 前言 小程序.H5应用的快速发展,使得前后端分离已经成为了趋势,然而系统认证却是系统的重要一部分,本文将讲解JWT如何实现前后端认证. JWT简介 JWT(全称:Json Web Token)是一个开放标
-
Spring Boot实战教程之自动配置详解
前言 大家应该都有所了解,随着Ruby.Groovy等动态语言的流行,相比较之下Java的开发显得格外笨重.繁多的配置.低下的开发效率.复杂的部署流程以及第三方技术集成难度大等问题一直被人们所诟病.随着Spring家族中的新星Spring Boot的诞生,这些问题都在逐渐被解决. 个人觉得Spring Boot中最重要的两个优势就是可以使用starter简化依赖配置和Spring的自动配置.下面这篇文章将给大家详细介绍Spring Boot自动配置的相关内容,话不多说,来一起看看详细的介绍. 使
-
Spring Boot整合mybatis并自动生成mapper和实体实例解析
最近一直都在学习Java,发现目前Java招聘中,mybatis出现的频率挺高的,可能是目前Java开发中使用比较多的数据库ORM框架.于是我准备研究下Spring Boot和mybatis的整合. 1.在pom.xml文件中添加下面的配置 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-
-
intellij idea中spring boot properties文件不能自动提示问题解决
1.如图所示,Spring配置文件应该带有是树叶标识,但此处显示的为普通的properties文件 2.选择Open Module Settings 3.选择加号 4.选择需要添加为Spring配置的文件 5.配置完成 到此这篇关于intellij idea中spring boot properties文件不能自动提示问题解决的文章就介绍到这了,更多相关spring boot properties不能自动提示内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
-
Spring Boot 集成 Mybatis Plus 自动填充字段的实例详解
一般在表设计的时候,都会在表中添加一些系统字段,比如 create_time.update_time等. 阿里巴巴开发手册中也有这样的提示,如果对于这些公共字段可以进行统一处理,不需要每次进行插入或者更新操作的时候 set 一下,就可以提高开发效率,解放双手. 加入依赖 下面就通过 MyBatis Plus 来完成字段自动填充,首先加入 MyBatis Plus 依赖: <dependency> <groupId>com.baomidou</groupId>