java后端实现token自动续期,这方案有点优雅

本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 Tair(兼容Redis),内存型 2GB
简介: 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。

前言


在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个token。前端(如vue)在接收到 token后会将token存储到LocalStorage中。


后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token的合法性以及token是否过期,如果token过期则会让前端跳转到登录页面重新登录。


因为token中一般会包含用户的基础信息,为了保证token的安全性,一般会将token的过期时间设置的比较短。


但是这样又会导致前端用户需要频繁登录(token过期),甚至有的表单比较复杂,前端用户在填写表单时需要思考较长时间,等真正提交表单时后端校验发现token过期失效了不得不跳转到登录页面。重新登录填写后再提交表单,用户体验非常不友好。


本篇文章的内容就要是在前端用户无感知的情况下实现token的自动续期,避免频繁登录、表单填写内容丢失情况的发生。当然,这只是万千解决方案中的一种,如果你要更好的方案,欢迎留言评论。


实现原理


token自动续期的实现原理如下:


  1. 登录成功后将用户生成的token 作为key、value存储到cache缓存里面 (这时候key、value值一样),将缓存有效期设置为 token有效时间的2倍。


  1. 当该用户再次请求时,通过后端的一个Filter 校验前端token是否是有效token,如果token无效表明是非法请求,直接抛出异常即可;


  1. 根据规则从cache缓存中取出token,判断cache token是否存在,此时有以下几种情况:
  • cache token 不存在
    这种情况说明token在缓存中过期了,表明该用户账户空闲时间过长,此时属于正常过期,后端直接返回用户信息已失效,请重新登录即可。


  • cache token 存在,则需要使用jwt工具类验证该cache token 是否过期超时,不过期无需处理。过期则表示该用户一直在操作只是token失效了,后端程序会给token对应的key映射的value值重新生成 token并覆盖value值,该缓存生命周期重新计算。


实现逻辑的核心原理:


前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准。


代码实现(伪码)


  1. 登录成功后给用户签发token,并设置token的有效期


...
SysUsersysUser=userService.getUser(username,password);
if(null!==sysUser){
Stringtoken=JwtUtil.sign(sysUser.getUsername(), sysUser.getPassword());
}
...
publicstaticStringsign(Stringusername, Stringsecret) {
//设置token有效期为30分钟Datedate=newDate(System.currentTimeMillis() +30*60*1000);
//使用HS256生成token,密钥则是用户的密码Algorithmalgorithm=Algorithm.HMAC256(secret);
// 附带username信息returnJWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
}


  1. 将token存入redis,并设定过期时间,将redis的过期时间设置成token过期时间的两倍


StingtokenKey="sys:user:token"+token;
redisUtil.set(tokenKey, token);
redisUtil.expire(tokenKey, 30*60*2);
//将token返回给前端用户returntoken;


  1. 前端调用后端接口时在请求头中添加token(略)


  1. 过滤器校验token,校验token有效性


publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request,token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体,在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request,token is Invalid!")
    }
//校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request,token is expired!")
  }
  ...
}


  1. 实现token的自动续期


publicvoiddoFilter(ServletRequestreq, ServletResponseres, FilterChainchain) throwsIOException, ServletException {
//从header中获取tokenStringtoken=httpServletRequest.getHeader("token")
if(null==token){
thrownewRuntimeException("illegal request,token is necessary!")
  }
//解析token获取用户名Stringusername=JwtUtil.getUsername(token);
//根据用户名获取用户实体,在实际开发中从redis取Useruser=userService.findByUser(username);
if(null==user){
thrownewRuntimeException("illegal request,token is Invalid!")
    }
//校验token是否失效,自动续期if(!refreshToken(token,username,user.getPassword())){
thrownewRuntimeException("illegal request,token is expired!")
  }
  ...
}


本文中jwt的相关操作是基于 com.auth0.java-jwt 实现,大家可以通过关注下方卡片获取。

小结


jwt token实现逻辑的核心原理是 前端请求Header中设置的token保持不变,校验有效性以缓存中的token为准,千万不要直接校验Header中的token。实现原理部分大家好好体会一下,思路比实现更重要!

相关实践学习
基于Redis实现在线游戏积分排行榜
本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
云数据库 Redis 版使用教程
云数据库Redis版是兼容Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。 产品详情:https://www.aliyun.com/product/kvstore     ------------------------------------------------------------------------- 阿里云数据库体验:数据库上云实战 开发者云会免费提供一台带自建MySQL的源数据库 ECS 实例和一台目标数据库 RDS实例。跟着指引,您可以一步步实现将ECS自建数据库迁移到目标数据库RDS。 点击下方链接,领取免费ECS&RDS资源,30分钟完成数据库上云实战!https://developer.aliyun.com/adc/scenario/51eefbd1894e42f6bb9acacadd3f9121?spm=a2c6h.13788135.J_3257954370.9.4ba85f24utseFl
目录
相关文章
|
26天前
|
SQL JavaScript 安全
【04】Java+若依+vue.js技术栈实现钱包积分管理系统项目-若依框架二次开发准备工作-以及建立初步后端目录菜单列-优雅草卓伊凡商业项目实战
【04】Java+若依+vue.js技术栈实现钱包积分管理系统项目-若依框架二次开发准备工作-以及建立初步后端目录菜单列-优雅草卓伊凡商业项目实战
75 11
【04】Java+若依+vue.js技术栈实现钱包积分管理系统项目-若依框架二次开发准备工作-以及建立初步后端目录菜单列-优雅草卓伊凡商业项目实战
|
8天前
|
监控 前端开发 Java
构建高效Java后端与前端交互的定时任务调度系统
通过以上步骤,我们构建了一个高效的Java后端与前端交互的定时任务调度系统。该系统使用Spring Boot作为后端框架,Quartz作为任务调度器,并通过前端界面实现用户交互。此系统可以应用于各种需要定时任务调度的业务场景,如数据同步、报告生成和系统监控等。
25 2
|
1月前
|
存储 小程序 前端开发
微信小程序与Java后端实现微信授权登录功能
微信小程序极大地简化了登录注册流程。对于用户而言,仅仅需要点击授权按钮,便能够完成登录操作,无需经历繁琐的注册步骤以及输入账号密码等一系列复杂操作,这种便捷的登录方式极大地提升了用户的使用体验
281 12
|
2月前
|
SQL Java 数据库连接
【潜意识Java】Java中JDBC过时方法的替代方案以及JDBC为什么过时详细分析
本文介绍了JDBC中一些常见过时方法及其替代方案。
49 5
|
2月前
|
前端开发 Java 数据库连接
Java后端开发-使用springboot进行Mybatis连接数据库步骤
本文介绍了使用Java和IDEA进行数据库操作的详细步骤,涵盖从数据库准备到测试类编写及运行的全过程。主要内容包括: 1. **数据库准备**:创建数据库和表。 2. **查询数据库**:验证数据库是否可用。 3. **IDEA代码配置**:构建实体类并配置数据库连接。 4. **测试类编写**:编写并运行测试类以确保一切正常。
86 2
|
2月前
|
前端开发 NoSQL Java
【Java若依框架】RuoYi-Vue的前端和后端配置步骤和启动步骤
本文介绍了如何配置和启动基于Java的若依(RuoYi)项目,涵盖后端和前端的详细步骤。首先,准备Redis、MySQL以及IDE(如Idea和VS)。接着,通过GitHub获取代码并导入到IDE中,执行必要的SQL文件和配置数据库密码。然后,启动Redis并进行相关配置。最后,按照前端配置步骤克隆前端代码库,打开终端执行命令完成前端配置。整个过程详细记录了每一步的操作,帮助开发者顺利部署若依项目。 如果你觉得有帮助,请点赞、关注和收藏,这将是我持续分享的动力!
528 1
|
3月前
|
存储 安全 Java
Java多线程编程秘籍:各种方案一网打尽,不要错过!
Java 中实现多线程的方式主要有四种:继承 Thread 类、实现 Runnable 接口、实现 Callable 接口和使用线程池。每种方式各有优缺点,适用于不同的场景。继承 Thread 类最简单,实现 Runnable 接口更灵活,Callable 接口支持返回结果,线程池则便于管理和复用线程。实际应用中可根据需求选择合适的方式。此外,还介绍了多线程相关的常见面试问题及答案,涵盖线程概念、线程安全、线程池等知识点。
269 2
|
4月前
|
jenkins Java 测试技术
如何使用 Jenkins 自动发布 Java 代码,通过一个电商公司后端服务的实际案例详细说明
本文介绍了如何使用 Jenkins 自动发布 Java 代码,通过一个电商公司后端服务的实际案例,详细说明了从 Jenkins 安装配置到自动构建、测试和部署的全流程。文中还提供了一个 Jenkinsfile 示例,并分享了实践经验,强调了版本控制、自动化测试等关键点的重要性。
133 3
|
2天前
|
JSON 自然语言处理 前端开发
【01】对APP进行语言包功能开发-APP自动识别地区ip后分配对应的语言功能复杂吗?-成熟app项目语言包功能定制开发-前端以uniapp-基于vue.js后端以laravel基于php为例项目实战-优雅草卓伊凡
【01】对APP进行语言包功能开发-APP自动识别地区ip后分配对应的语言功能复杂吗?-成熟app项目语言包功能定制开发-前端以uniapp-基于vue.js后端以laravel基于php为例项目实战-优雅草卓伊凡
95 72
【01】对APP进行语言包功能开发-APP自动识别地区ip后分配对应的语言功能复杂吗?-成熟app项目语言包功能定制开发-前端以uniapp-基于vue.js后端以laravel基于php为例项目实战-优雅草卓伊凡
|
3月前
|
存储 缓存 负载均衡
后端开发中的性能优化策略
本文将探讨几种常见的后端性能优化策略,包括代码层面的优化、数据库查询优化、缓存机制的应用以及负载均衡的实现。通过这些方法,开发者可以显著提升系统的响应速度和处理能力,从而提供更好的用户体验。
104 6

热门文章

最新文章