AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

java后端实现token自动续期,这方案有点优雅

2021-12-10 930
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 Tair(兼容Redis),内存型 2GB
推荐场景:
通过缓存加速数据库访问
简介: 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。

前言


在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。


后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token的合法性以及token是否过期,如果token过期则会让前端跳转到登录页面重新登录。


因为token中一般会包含用户的基础信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。


但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。重新登录填写后再提交表单,用户体验非常不友好。


本篇文章的内容就要是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。当然,这只是万千解决方案中的一种,如果你要更好的方案,欢迎留言评论。


实现原理


token自动续期的实现原理如下:


  1. 登录成功后将用户生成的token 作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。


  1. 当该用户再次请求时,通过后端的一个Filter 校验前端token是否是有效token,如果token无效表明是非法请求,直接抛出异常即可;


  1. 根据规则从cache缓存中取出token,判断cache token是否存在,此时有以下几种情况:
  • cache token 不存在
    这种情况说明token在缓存中过期了,表明该用户账户空闲时间过长,此时属于正常过期,后端直接返回用户信息已失效,请重新登录即可。


  • cache token 存在,则需要使用jwt工具类验证该cache token 是否过期超时,不过期无需处理。过期则表示该用户一直在操作只是token失效了,后端程序会给token对应的key映射的value值重新生成 token并覆盖value值,该缓存生命周期重新计算。


实现逻辑的核心原理:


前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。


代码实现(伪码)


  1. 登录成功后给用户签发token,并设置token的有效期


...
SysUsersysUser=userService.getUser(username,password);
if(null!==sysUser){
Stringtoken=JwtUtil.sign(sysUser.getUsername(), sysUser.getPassword());
}
...
publicstaticStringsign(Stringusername, Stringsecret) {
//设置token有效期为30分钟Datedate=newDate(System.currentTimeMillis() +30*60*1000);
//使用HS256生成token,密钥则是用户的密码Algorithmalgorithm=Algorithm.HMAC256(secret);
// 附带username信息returnJWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
}


  1. 将token存入redis,并设定过期时间,将redis的过期时间设置成token过期时间的两倍


StingtokenKey="sys:user:token"+token;
redisUtil.set(tokenKey, token);
redisUtil.expire(tokenKey, 30*60*2);
//将token返回给前端用户returntoken;


  1. 前端调用后端接口时在请求头中添加token(略)


  1. 过滤器校验token,校验token有效性


publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request,token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体,在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request,token is Invalid!")
    }
//校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request,token is expired!")
  }
  ...
}


  1. 实现token的自动续期


publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request,token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体,在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request,token is Invalid!")
    }
//校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request,token is expired!")
  }
  ...
}


本文中jwt的相关操作是基于 com.auth0.java-jwt 实现,大家可以通过关注下方卡片获取。

小结


jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准,千万不要直接校验Header中的token。实现原理部分大家好好体会一下,思路比实现更重要!

文章标签:
云数据库 Tair(兼容 Redis)
Java
JavaScript
前端开发
UED
NoSQL
Redis
缓存
存储
相关实践学习
基于Redis实现在线游戏积分排行榜
本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
飘渺Jam
目录
相关文章
AI小云
|
2月前
|
安全 算法 Java
Java 多线程:线程安全与同步控制的深度解析
本文介绍了 Java 多线程开发的关键技术,涵盖线程的创建与启动、线程安全问题及其解决方案,包括 synchronized 关键字、原子类和线程间通信机制。通过示例代码讲解了多线程编程中的常见问题与优化方法,帮助开发者提升程序性能与稳定性。
AI小云
119 0
欲揽西江月
|
2月前
|
Java API 调度
从阻塞到畅通:Java虚拟线程开启并发新纪元
从阻塞到畅通:Java虚拟线程开启并发新纪元
欲揽西江月
277 83
啦啦啦191
|
3月前
|
存储 SQL 安全
Java 无锁方式实现高性能线程实战操作指南
本文深入探讨了现代高并发Java应用中单例模式的实现方式,分析了传统单例(如DCL)的局限性,并提出了多种无锁实现方案。包括基于ThreadLocal的延迟初始化、VarHandle原子操作、Record不可变对象、响应式编程(Reactor)以及CDI依赖注入等实现方式。每种方案均附有代码示例及适用场景,同时通过JMH性能测试对比各实现的优劣。最后,结合实际案例设计了一个高性能配置中心,展示了无锁单例在实际开发中的应用。总结中提出根据场景选择合适的实现方式,并遵循现代单例设计原则以优化性能和安全性。文中还提供了代码获取链接,便于读者实践与学习。
啦啦啦191
90 0
欲揽西江月
|
2月前
|
存储 Java 调度
Java虚拟线程:轻量级并发的革命性突破
Java虚拟线程:轻量级并发的革命性突破
欲揽西江月
222 83
摘星.
|
4月前
|
机器学习/深度学习 消息中间件 存储
【高薪程序员必看】万字长文拆解Java并发编程!(9-2):并发工具-线程池
🌟 ​大家好,我是摘星!​ 🌟今天为大家带来的是并发编程中的强力并发工具-线程池,废话不多说让我们直接开始。
摘星.
181 0
程序员小假
|
3月前
|
存储 Java
说一说 JAVA 内存模型与线程
我是小假 期待与你的下一次相遇 ~
程序员小假
81 5
程序员小假
|
3月前
|
移动开发 Java
说一说 Java 是如何实现线程间通信
我是小假 期待与你的下一次相遇 ~
程序员小假
56 4
啦啦啦191
|
3月前
|
Java 数据挖掘 调度
Java 多线程创建零基础入门新手指南:从零开始全面学习多线程创建方法
本文从零基础角度出发,深入浅出地讲解Java多线程的创建方式。内容涵盖继承`Thread`类、实现`Runnable`接口、使用`Callable`和`Future`接口以及线程池的创建与管理等核心知识点。通过代码示例与应用场景分析,帮助读者理解每种方式的特点及适用场景,理论结合实践,轻松掌握Java多线程编程 essentials。
啦啦啦191
221 5

热门文章

最新文章

  • 1
    2025 年 Java 全栈从环境搭建到项目上线实操全流程指南:Java 全栈最新实操指南(2025 版)
  • 2
    Java浮点类型详解:使用与区别
  • 3
    2025 Java 零基础到实战最新技术实操全攻略与学习指南
  • 4
    Java中的Lambda表达式:简化代码的利器
  • 5
    Java Stream API:现代数据处理之道
  • 6
    Java中的Switch表达式:更简洁的多路分支
  • 7
    Java中的Lambda表达式:简洁与功能的结合
  • 8
    2025 年最新 Java 学习路线图含实操指南助你高效入门 Java 编程掌握核心技能
  • 9
    Java 项目实战从入门到精通 :Java Web 在线商城项目开发指南
  • 10
    Java 项目实战教程从基础到进阶实战案例分析详解
  • 1
    综合案例【商品管理系统-Java基础版】(附完整源码)
    456
  • 2
    Java常见异常及对应解决办法
    165
  • 3
    19 Java8概述(Java8概述+lambda表达式+函数式接口+方法引用+Stream+新时间API)
    126
  • 4
    18 Java反射reflect(类加载+获取类对象+通用操作+设计模式+枚举+注解)
    275
  • 5
    17 Java多线程(线程创建+线程状态+线程安全+死锁+线程池+Lock接口+线程安全集合)(下)
    164
  • 6
    17 Java多线程(线程创建+线程状态+线程安全+死锁+线程池+Lock接口+线程安全集合)(中)
    169
  • 7
    17 Java多线程(线程创建+线程状态+线程安全+死锁+线程池+Lock接口+线程安全集合)(上)
    154
  • 8
    16 Java网络编程(计算机网络+网络模型OSI/TCP/IP+通信协议等)
    187
  • 9
    15 Java IO流(File类+IO流+字节流+字符流+字节编码)
    120
  • 10
    13 Java异常(异常过程解析、throw、throws、try-catch关键字)
    276

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    蛋白质语言模型 ProGen:在实验室合成由 AI 预测的蛋白质