实现JWT并发请求刷新、主动过期
在第一篇文章中总结出了很多JWT的特点,本篇我们解决在使用JWT过程中出现的问题解决思路。下面我们带着问题进入我的思路。
为什么JWT必须设置失效时间?
在使用JWT来认证的系统中,token是标识一个用户的身份、权限唯一标识,如果token泄露,不能保证盗用者拿token来做好事。因此安全起见,普遍token有效期非常短。
为什么需要我们来编写刷新逻辑?
假设我们token有效期5分钟,如果没有token刷新机制,用户每5分钟重新登录;那不炸了,用户几乎什么也做不了。 为了给用户良好体验,我们实现无痛刷新,在用户不知情的情况下重新获取token,维持客户端与服务器的连接状态。
JWT为什么需要我们做主动过期的操作?
这就是解决JWT最大的缺点,当我们成功签发一个token后,只要它不过期不被篡改,服务器仍然可以成功校验。那么用户修改密码、退出登录、另一台设备登录,我们应该废除原来的token的。并且做到主动过期也提高了我们系统安全。
主动过期JWT
登录成功生成token(荷载部分包含用户信息),将用户id和token字符串扔到redis。每次请求校验token需要将其荷载部分用户id取出,到redis中找到该用户的token所属的token。如果redis中没有用户发送的token,可以断定实现JWT刷新思路(适应并发情况)
整体思路:
用户登录成功后,系统为用户分配一个token。之后客户端每次请求都带上这个token更多推荐
主动,JWT
发布评论