一文说清楚什么是Token以及项目中使用Token延伸的问题
首先可以参考我的往期文章,我这里说清楚了Cookie,Seesion,Token以及JWT是什么
其实Token你就可以理解成这是一个认证令牌就好了
详细分清Session,Cookie和Token之间的区别,以及JWT是什么东西_还分不清 cookie、session、token、jwt?-CSDN博客
这篇文章主要叙述的是项目中使用Token延伸的问题
问题包括:Token是否是最新的,Token的续期问题,Token的抢占式刷新
Token是否最新的
我的项目中一般用jwt来做我们的token认证令牌,然后我们的逻辑是在拦截器里有一个解析token的逻辑
我们会存用户ID和一个currentTime到一个Map里面,然后我们这个Map根据我们的JWT算法来解析从而生成我们的Token。我们拦截器会通过Authorization请求头里面是否有这个Token,这个Token是否能被成功解析来决定是否放行这个请求
如果这个token失败了,我们就会解析失败然后报错,这样子就能保证没有过期的jwt能够通过我们的鉴权
同时我们会把这个Token放到Redis统一管理
为什么放到Redis?
旧Token失效:因为我们要保证这个Token是最新的,旧的Token没有过期,他能通过JWT解析,也就是说即使这个jwt令牌不是最新的,但是我们只要没过期我们就可以通过我们的拦截器里面的鉴权逻辑,这样子是不行的
所以我们要在拦截器里加多一个Redis是否是这个Token来判断,如果redis里面存的是这个Token我们就判断这个Token是最新的我们放行
即我们把每个用户唯一的jwt令牌放到Redis里面,Redis里面存的是当前用户最新的jwt令牌
我们从Redis里面获取最新的令牌和当前请求头Authorization里面的String字符串对比,如果是一样的就说明当前jwt字符串就是最新的,这样子我们就能是最新的jwt令牌我们才通过鉴权逻辑
Token的续期问题
例如我们的Session,每次我们的用户点击我们的服务器就会刷新当前Session的过期时间
这就是为什么如果我们频繁浏览一个网站,我们的用户登录状态有时候甚至一个月才掉,但一般时候我们都设置3,4天掉的,这就是用户点击当前网站的时候,我们根据当前状态来进行登录状态的续期
Session的续期是服务器写好的,而token的续期逻辑就要我们自己来写
因为我的项目用的是jwt所以我就拿jwt举例子
我们一般会往jwt里面放一些数据,然后里面会放着一开始用户登录的curtime,我们的jwt过期时间是30天,但我们业务规定的过期时间是3天,我们每次点击的时候,我们才会给用户登录状态续上几天,然后30天后到极限了,规定必须重新登录
我们只要在拦截器里面的逻辑里面加多一些内容,我们把jwt里的信息解析出来然后比较curtime,如果没过一个月,我们就把curtime和用户信息重新生成jwt然后实现续期
如果对比curtime已经过了一个月了,我们就要强行下线用户登录状态然后让我们的用户必须重新登录了
这就是我们的token续期
解决Token的抢占式刷新
我们先判断token是否存在,再判断token是否需要续期
token续期的逻辑
我们先解析出jwt中的curtime,判断这个token是否超过了3天,如果没超过了3天我们就让Boolean类型的xuqi变量==true,然后进入续期逻辑,把我们的curtime和用户信息原封不动的进去然后生成jwt
我们锁住token也就是RedisToken,然后再进行一轮判断,如果我们的的token和Redis的Token不一样,说明前面已经有线程做了续期了,我们不做行为
如果一样,说明没有续期,我们重新进行jwt生成逻辑生成一个新的jwt弄到Redis中
然后我们通过把新生成的jwt放到我们的Response里面返回给前端,前端就可以拿到我们的新的token了
这是单体项目
if(xuqi==true) {
synchronized (RedisToken) {
if(stringRedisTemplate.opsForValue().get("login"+username)==token){//如果我们的Token还没变,那我们就要续期
//重新生成jwt
} else{//我们的Token变了
}
}
}我们分布式项目要上分布式锁Redis,我们用Redisson的RLock.lock来锁住这个token然后进行更新
因为并发情况下我们可能有多个请求去更新一个用户的token,所以我们要确保只有一个请求去更新token防止无意义的重新刷新token