JWT 设置token过期时间无效的解决

更新时间：2022年07月08日 15:24:56 作者：changerzhuo

这篇文章主要介绍了JWT 设置token过期时间无效的解决方案，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教

JWT 设置token过期时间无效

原因

设置超时时间的顺序有误，应调用setClaims()方法设置claims属性。

在调用setExpiration()方法设置超时时间。

Date expiresDate = new Date(System.currentTimeMillis() + expire_time);// expire_time为token有效时长, 单位毫秒

错误顺序示例：

JwtBuilder result = Jwts.builder()
                .setExpiration(date) // 超时时间设置在 setClaims之前
        .setClaims(claims) 
        .signWith(SignatureAlgorithm.HS256, Constants.BASE64SECRET);

正确顺序示例：

JwtBuilder result = Jwts.builder()
        .setClaims(claims) // 先调用setClaims， 在调用setExpiration
        .setExpiration(date)
        .signWith(SignatureAlgorithm.HS256, Constants.BASE64SECRET);

原因分析

//io.jsonwebtoken.impl.DefaultJwtBuilder#setExpiration 中代码
    @Override
    public JwtBuilder setExpiration(Date exp) {
        if (exp != null) {
            // 设置的时间不为空，就调用ensureClaims方法
            ensureClaims().setExpiration(exp);
        } else {
            if (this.claims != null) {
                //noinspection ConstantConditions
                this.claims.setExpiration(exp);
            }
        }
        return this;
    }
 
 
// io.jsonwebtoken.impl.DefaultJwtBuilder#ensureClaims 中代码
    protected Claims ensureClaims() {
        // 如果claims为null， 则创建新的示例。 此处没有问题
        if (this.claims == null) {
            this.claims = new DefaultClaims();
        }
        return this.claims;
    }
 
// io.jsonwebtoken.impl.DefaultJwtBuilder#setClaims(io.jsonwebtoken.Claims) 中代码
    @Override
    public JwtBuilder setClaims(Claims claims) {
        // 直接给claims赋值， 这里个操作覆盖了之前设置的超时时间，
        // 导致最终构造token时， 没有设置超时时间
        this.claims = claims;
        return this;
    }

JWT token过期自动续期解决方案

JWT

JWT全称JSON Web Token，由三部分组成header（头部，用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等）、payload（载荷，就是存放有效信息的地方，在这一部分中存放过期时间）和signature（签证，签证信息）。

token

token就是后端生成的JWT字符串值，在前后端分离中，token是前端访问后端接口的合法身份、权限的凭证。

token过期刷新方案

1、单点登录

用户登录，后端验证用户成功之后生成两个token，这两个token分别是access_token（访问接口使用的token）、refresh_token（access_token过期后用于刷续期的token，注意设置refresh_token的过期时间需比access_token的过期时间长），后端将用户信息和这两个token存放到redis中并返回给前端。

前端在获取到登录成功返回的两个token之后，将之存放到localStorage本地存储中。

2、接口请求

前端封装统一接口请求函数、token刷新函数，在请求成功之后对返回结果进行校验，如果token过期，则调用token刷新函数请求新的token.

后端在接收到token刷新请求之后通过结合redis中存放的用户信息、token和refresh_token对请求参数进行验证，验证通过之后生成新的token和refresh_token存放到redis中并返回给前端。至此完成token刷新。

3、多请求应对

所谓多请求，就是指在短时间内同时发生多个请求，如果此时token已经过期，那么这些请求都会出现token过期请求失败的情况。

为了避免反复刷新token，需要设置一个刷新token的开关isRefresh，当一个请求出现token过期的时候，这个时候会调用token刷新函数，与此同时关闭开关将isRefresh的值设置为false，避免后续请求去调用token刷新函数。

当发现token过期时，咱们将请求延缓到token刷新之后再重新执行请求，这里采用Promise函数，把每一个token失效的请求都存到一个Promise函数集合里面，当token刷新之后打开开关将isRefresh的值设置为true，然后批量执行Promise函数集合里面的Promise函数，返回请求结果。

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Spring 动态代理实现代码实例
这篇文章主要介绍了Spring 动态代理实现代码实例,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-09-09
Java微服务开发之Swagger详解
Swagger 是一个规范和完整的框架，用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法，参数和模型紧密集成到服务器端的代码，允许API来始终保持同步
2021-10-10
java原生动态生成验证码
这篇文章主要为大家详细介绍了java原生动态生成验证码，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2020-10-10
java启动时自定义配置文件路径,自定义log4j2.xml位置方式
这篇文章主要介绍了java启动时自定义配置文件路径,自定义log4j2.xml位置方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-08-08
在Spring中使用Knife4j进行API文档生成与管理的操作方法
Knife4j 是为Java MVC 框架（如Spring Boot、Spring MVC等）集成 Swagger 生成 API 文档的增强解决方案,它基于 Swagger 的核心功能,通过定制化的前端界面和一些额外的特性,本文介绍了在Spring中使用Knife4j进行API文档生成与管理的操作方法,需要的朋友可以参考下
2024-12-12
java调用dll方法总结
本篇文章小编给大家整理了java调用dll的方法的总结，有需要的朋友参考学下一下吧。
2017-12-12
Java图书管理系统课程设计
这篇文章主要为大家详细介绍了Java图书管理系统课程设计，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-02-02
JAVA简单选择排序算法原理及实现
选择排序（Selection Sort ）分为两种简单选择排序（Simple Selection Sort）和树形选择排序
2014-01-01
Spring中@Value注解获取不到配置值问题及解决
这篇文章主要介绍了Spring中@Value注解获取不到配置值问题及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-09-09
Eclipse中如何显示explorer过程解析
这篇文章主要介绍了Eclipse中如何显示explorer过程解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-09-09