java后端实现token自动续期，这方案有点优雅-阿里云开发者社区

java后端实现token自动续期，这方案有点优雅

2021-12-10 2775

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 Tair（兼容Redis），内存型 2GB

Redis 开源版，标准版 2GB

简介： 在前后端分离的开发模式下，前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。

前言

在前后端分离的开发模式下，前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。

后续每次请求都会将此token放在请求头中传递到后端服务，后端服务会有一个过滤器对token进行拦截校验，校验token的合法性以及token是否过期，如果token过期则会让前端跳转到登录页面重新登录。

因为token中一般会包含用户的基础信息，为了保证token的安全性，一般会将token的过期时间设置的比较短。

但是这样又会导致前端用户需要频繁登录（token过期），甚至有的表单比较复杂，前端用户在填写表单时需要思考较长时间，等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。重新登录填写后再提交表单，用户体验非常不友好。

本篇文章的内容就要是在前端用户无感知的情况下实现token的自动续期，避免频繁登录、表单填写内容丢失情况的发生。当然，这只是万千解决方案中的一种，如果你要更好的方案，欢迎留言评论。

实现原理

token自动续期的实现原理如下：

登录成功后将用户生成的token 作为key、value存储到cache缓存里面 (这时候key、value值一样)，将缓存有效期设置为 token有效时间的2倍。

当该用户再次请求时，通过后端的一个Filter 校验前端token是否是有效token，如果token无效表明是非法请求，直接抛出异常即可；

根据规则从cache缓存中取出token，判断cache token是否存在，此时有以下几种情况：

cache token 不存在
这种情况说明token在缓存中过期了，表明该用户账户空闲时间过长，此时属于正常过期，后端直接返回用户信息已失效，请重新登录即可。

cache token 存在，则需要使用jwt工具类验证该cache token 是否过期超时，不过期无需处理。过期则表示该用户一直在操作只是token失效了，后端程序会给token对应的key映射的value值重新生成 token并覆盖value值，该缓存生命周期重新计算。

实现逻辑的核心原理：

前端请求Header中设置的token保持不变，校验有效性以缓存中的token为准。

代码实现（伪码）

登录成功后给用户签发token，并设置token的有效期

...
SysUsersysUser=userService.getUser(username,password);
if(null!==sysUser){
Stringtoken=JwtUtil.sign(sysUser.getUsername(), sysUser.getPassword());
}
...
publicstaticStringsign(Stringusername, Stringsecret) {
//设置token有效期为30分钟Datedate=newDate(System.currentTimeMillis() +30*60*1000);
//使用HS256生成token,密钥则是用户的密码Algorithmalgorithm=Algorithm.HMAC256(secret);
// 附带username信息returnJWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
}

将token存入redis，并设定过期时间，将redis的过期时间设置成token过期时间的两倍

StingtokenKey="sys:user:token"+token;
redisUtil.set(tokenKey, token);
redisUtil.expire(tokenKey, 30*60*2);
//将token返回给前端用户returntoken；

前端调用后端接口时在请求头中添加token（略）

过滤器校验token，校验token有效性

publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request，token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体，在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request，token is Invalid!")
    }
//校验token是否失效，自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request，token is expired!")
  }
  ...
}

实现token的自动续期

publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request，token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体，在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request，token is Invalid!")
    }
//校验token是否失效，自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request，token is expired!")
  }
  ...
}

本文中jwt的相关操作是基于 com.auth0.java-jwt 实现，大家可以通过关注下方卡片获取。

小结

jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变，校验有效性以缓存中的token为准，千万不要直接校验Header中的token。实现原理部分大家好好体会一下，思路比实现更重要！

java后端实现token自动续期，这方案有点优雅

前言

实现原理

代码实现（伪码）

小结

热门文章

最新文章

相关课程

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

java后端实现token自动续期，这方案有点优雅

前言

实现原理

代码实现（伪码）

小结

热门文章

最新文章

相关课程

相关电子书

相关实验场景