前言
在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。
后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token的合法性以及token是否过期,如果token过期则会让前端跳转到登录页面重新登录。
因为token中一般会包含用户的基础信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。
但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。重新登录填写后再提交表单,用户体验非常不友好。
本篇文章的内容就要是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。当然,这只是万千解决方案中的一种,如果你要更好的方案,欢迎留言评论。
实现原理
token自动续期的实现原理如下:
- 登录成功后将用户生成的
token作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。
- 当该用户再次请求时,通过后端的一个
Filter校验前端token是否是有效token,如果token无效表明是非法请求,直接抛出异常即可;
- 根据规则从cache缓存中取出token,判断
cache token是否存在,此时有以下几种情况:
cache token不存在
这种情况说明token在缓存中过期了,表明该用户账户空闲时间过长,此时属于正常过期,后端直接返回用户信息已失效,请重新登录即可。
cache token存在,则需要使用jwt工具类验证该cache token 是否过期超时,不过期无需处理。过期则表示该用户一直在操作只是token失效了,后端程序会给token对应的key映射的value值重新生成 token并覆盖value值,该缓存生命周期重新计算。
实现逻辑的核心原理:
前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。
代码实现(伪码)
- 登录成功后给用户签发token,并设置token的有效期
... SysUsersysUser=userService.getUser(username,password); if(null!==sysUser){ Stringtoken=JwtUtil.sign(sysUser.getUsername(), sysUser.getPassword()); } ... publicstaticStringsign(Stringusername, Stringsecret) { //设置token有效期为30分钟Datedate=newDate(System.currentTimeMillis() +30*60*1000); //使用HS256生成token,密钥则是用户的密码Algorithmalgorithm=Algorithm.HMAC256(secret); // 附带username信息returnJWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm); }
- 将token存入redis,并设定过期时间,将redis的过期时间设置成token过期时间的两倍
StingtokenKey="sys:user:token"+token; redisUtil.set(tokenKey, token); redisUtil.expire(tokenKey, 30*60*2); //将token返回给前端用户returntoken;
- 前端调用后端接口时在请求头中添加token(略)
- 过滤器校验token,校验token有效性
publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException { //从header中获取tokenStringtoken=httpServletRequest.getHeader("token") if(null==token){ thrownewRuntimeException("illegal request,token is necessary!") } //解析token获取用户名Stringusername=JwtUtil.getUsername(token); //根据用户名获取用户实体,在实际开发中从redis取Useruser=userService.findByUser(username); if(null==user){ thrownewRuntimeException("illegal request,token is Invalid!") } //校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){ thrownewRuntimeException("illegal request,token is expired!") } ... }
- 实现token的自动续期
publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException { //从header中获取tokenStringtoken=httpServletRequest.getHeader("token") if(null==token){ thrownewRuntimeException("illegal request,token is necessary!") } //解析token获取用户名Stringusername=JwtUtil.getUsername(token); //根据用户名获取用户实体,在实际开发中从redis取Useruser=userService.findByUser(username); if(null==user){ thrownewRuntimeException("illegal request,token is Invalid!") } //校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){ thrownewRuntimeException("illegal request,token is expired!") } ... }
本文中jwt的相关操作是基于 com.auth0.java-jwt 实现,大家可以通过关注下方卡片获取。
小结
jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准,千万不要直接校验Header中的token。实现原理部分大家好好体会一下,思路比实现更重要!
