JWT实践总结篇 二 （实现JWT并发请求刷新、主动过期问题）

实现JWT并发请求刷新、主动过期

在第一篇文章中总结出了很多JWT的特点，本篇我们解决在使用JWT过程中出现的问题解决思路。下面我们带着问题进入我的思路。

为什么JWT必须设置失效时间？

在使用JWT来认证的系统中，token是标识一个用户的身份、权限唯一标识，如果token泄露，不能保证盗用者拿token来做好事。因此安全起见，普遍token有效期非常短。

为什么需要我们来编写刷新逻辑？

假设我们token有效期5分钟，如果没有token刷新机制，用户每5分钟重新登录；那不炸了，用户几乎什么也做不了。 为了给用户良好体验，我们实现无痛刷新，在用户不知情的情况下重新获取token，维持客户端与服务器的连接状态。

JWT为什么需要我们做主动过期的操作？

这就是解决JWT最大的缺点，当我们成功签发一个token后，只要它不过期不被篡改，服务器仍然可以成功校验。那么用户修改密码、退出登录、另一台设备登录，我们应该废除原来的token的。并且做到主动过期也提高了我们系统安全。

主动过期JWT

登录成功生成token（荷载部分包含用户信息），将用户id和token字符串扔到redis。每次请求校验token需要将其荷载部分用户id取出，到redis中找到该用户的token所属的token。如果redis中没有用户发送的token，可以断定

实现JWT刷新思路（适应并发情况）

整体思路：

用户登录成功后，系统为用户分配一个token。之后客户端每次请求都带上这个token