JWT 設置token過期時間無效的解決

Posted on by

JWT 設置token過期時間無效

原因

設置超時時間的順序有誤, 應調用setClaims()方法設置claims屬性。

在調用setExpiration()方法設置超時時間。

Date expiresDate = new Date(System.currentTimeMillis() + expire_time);// expire_time為token有效時長, 單位毫秒

錯誤順序示例: 

JwtBuilder result = Jwts.builder()
                .setExpiration(date) // 超時時間設置在 setClaims之前
        .setClaims(claims) 
        .signWith(SignatureAlgorithm.HS256, Constants.BASE64SECRET);

正確順序示例:

JwtBuilder result = Jwts.builder()
        .setClaims(claims) // 先調用setClaims, 在調用setExpiration
        .setExpiration(date)
        .signWith(SignatureAlgorithm.HS256, Constants.BASE64SECRET);

 

原因分析

//io.jsonwebtoken.impl.DefaultJwtBuilder#setExpiration 中代碼
    @Override
    public JwtBuilder setExpiration(Date exp) {
        if (exp != null) {
            // 設置的時間不為空,就調用ensureClaims方法
            ensureClaims().setExpiration(exp);
        } else {
            if (this.claims != null) {
                //noinspection ConstantConditions
                this.claims.setExpiration(exp);
            }
        }
        return this;
    }
 
 
// io.jsonwebtoken.impl.DefaultJwtBuilder#ensureClaims 中代碼
    protected Claims ensureClaims() {
        // 如果claims為null, 則創建新的示例。 此處沒有問題
        if (this.claims == null) {
            this.claims = new DefaultClaims();
        }
        return this.claims;
    }
 
// io.jsonwebtoken.impl.DefaultJwtBuilder#setClaims(io.jsonwebtoken.Claims) 中代碼
    @Override
    public JwtBuilder setClaims(Claims claims) {
        // 直接給claims賦值, 這裡個操作覆蓋瞭之前設置的超時時間,
        // 導致最終構造token時, 沒有設置超時時間
        this.claims = claims;
        return this;
    }

JWT token過期自動續期解決方案

JWT

JWT全稱JSON Web Token,由三部分組成header(頭部,用於描述關於該JWT的最基本的信息,例如其類型以及簽名所用的算法等)、payload(載荷,就是存放有效信息的地方,在這一部分中存放過期時間)和signature(簽證,簽證信息)。

token

token就是後端生成的JWT字符串值,在前後端分離中,token是前端訪問後端接口的合法身份、權限的憑證。

token過期刷新方案

1、單點登錄

用戶登錄,後端驗證用戶成功之後生成兩個token,這兩個token分別是access_token(訪問接口使用的token)、refresh_token(access_token過期後用於刷續期的token,註意設置refresh_token的過期時間需比access_token的過期時間長),後端將用戶信息和這兩個token存放到redis中並返回給前端。

前端在獲取到登錄成功返回的兩個token之後,將之存放到localStorage本地存儲中。

2、接口請求

前端封裝統一接口請求函數、token刷新函數,在請求成功之後對返回結果進行校驗,如果token過期,則調用token刷新函數請求新的token.

後端在接收到token刷新請求之後通過結合redis中存放的用戶信息、token和refresh_token對請求參數進行驗證,驗證通過之後生成新的token和refresh_token存放到redis中並返回給前端。至此完成token刷新。

3、多請求應對

所謂多請求,就是指在短時間內同時發生多個請求,如果此時token已經過期,那麼這些請求都會出現token過期請求失敗的情況。

為瞭避免反復刷新token,需要設置一個刷新token的開關isRefresh,當一個請求出現token過期的時候,這個時候會調用token刷新函數,與此同時關閉開關將isRefresh的值設置為false,避免後續請求去調用token刷新函數。

當發現token過期時,咱們將請求延緩到token刷新之後再重新執行請求,這裡采用Promise函數,把每一個token失效的請求都存到一個Promise函數集合裡面,當token刷新之後打開開關將isRefresh的值設置為true,然後批量執行Promise函數集合裡面的Promise函數,返回請求結果。

以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。

推薦閱讀: