java后端实现token自动续期，这方案有点优雅-阿里云开发者社区

java后端实现token自动续期，这方案有点优雅

2021-12-10 768

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 Tair（兼容Redis），内存型 2GB

Redis 开源版，标准版 2GB

简介： 在前后端分离的开发模式下，前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。

前言

在前后端分离的开发模式下，前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。

后续每次请求都会将此token放在请求头中传递到后端服务，后端服务会有一个过滤器对token进行拦截校验，校验token的合法性以及token是否过期，如果token过期则会让前端跳转到登录页面重新登录。

因为token中一般会包含用户的基础信息，为了保证token的安全性，一般会将token的过期时间设置的比较短。

但是这样又会导致前端用户需要频繁登录（token过期），甚至有的表单比较复杂，前端用户在填写表单时需要思考较长时间，等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。重新登录填写后再提交表单，用户体验非常不友好。

本篇文章的内容就要是在前端用户无感知的情况下实现token的自动续期，避免频繁登录、表单填写内容丢失情况的发生。当然，这只是万千解决方案中的一种，如果你要更好的方案，欢迎留言评论。

实现原理

token自动续期的实现原理如下：

登录成功后将用户生成的token 作为key、value存储到cache缓存里面 (这时候key、value值一样)，将缓存有效期设置为 token有效时间的2倍。

当该用户再次请求时，通过后端的一个Filter 校验前端token是否是有效token，如果token无效表明是非法请求，直接抛出异常即可；

根据规则从cache缓存中取出token，判断cache token是否存在，此时有以下几种情况：

cache token 不存在
这种情况说明token在缓存中过期了，表明该用户账户空闲时间过长，此时属于正常过期，后端直接返回用户信息已失效，请重新登录即可。

cache token 存在，则需要使用jwt工具类验证该cache token 是否过期超时，不过期无需处理。过期则表示该用户一直在操作只是token失效了，后端程序会给token对应的key映射的value值重新生成 token并覆盖value值，该缓存生命周期重新计算。

实现逻辑的核心原理：

前端请求Header中设置的token保持不变，校验有效性以缓存中的token为准。

代码实现（伪码）

登录成功后给用户签发token，并设置token的有效期

...
SysUsersysUser=userService.getUser(username,password);
if(null!==sysUser){
Stringtoken=JwtUtil.sign(sysUser.getUsername(), sysUser.getPassword());
}
...
publicstaticStringsign(Stringusername, Stringsecret) {
//设置token有效期为30分钟Datedate=newDate(System.currentTimeMillis() +30*60*1000);
//使用HS256生成token,密钥则是用户的密码Algorithmalgorithm=Algorithm.HMAC256(secret);
// 附带username信息returnJWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
}

将token存入redis，并设定过期时间，将redis的过期时间设置成token过期时间的两倍

StingtokenKey="sys:user:token"+token;
redisUtil.set(tokenKey, token);
redisUtil.expire(tokenKey, 30*60*2);
//将token返回给前端用户returntoken；

前端调用后端接口时在请求头中添加token（略）

过滤器校验token，校验token有效性

publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request，token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体，在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request，token is Invalid!")
    }
//校验token是否失效，自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request，token is expired!")
  }
  ...
}

实现token的自动续期

publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request，token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体，在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request，token is Invalid!")
    }
//校验token是否失效，自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request，token is expired!")
  }
  ...
}

本文中jwt的相关操作是基于 com.auth0.java-jwt 实现，大家可以通过关注下方卡片获取。

小结

jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变，校验有效性以缓存中的token为准，千万不要直接校验Header中的token。实现原理部分大家好好体会一下，思路比实现更重要！

java后端实现token自动续期，这方案有点优雅

前言

实现原理

代码实现（伪码）

小结

热门文章

最新文章

相关课程

相关电子书

相关实验场景