JWT刷新token策略
2021-04-28 23:01
176 查看
SpringCloud的项目用JWT做身份验证,对于token过期时间的刷新策略整理如下图:
刷新策略
在登录接口中返回两个token,一个是用来请求业务接口验证身份信息的accessToken,一个是过期后用来获取新的token的refreshToken,refreshToken中不携带权限等信息,因为不需要让refreshToken去请求业务接口,只用来获取新的token,refreshToken的过期时间相对长一些,accessToken的过期时间相对短一些,这一点根据自己的业务来定。
当客户端用accessToken请求业务接口收到【证书过期】的时候,携带着refreshToken去请求【刷新token】的接口,该接口重新设置两个token的过期时间然后返回给客户端,注意:不要改变两个token中存放的信息,重新设置过期时间的代码如下:
设置过期时间
获取JWT主体
注意这里的setAllowedClockSkewSeconds方法,如果不设置这个时间,一旦你的token过期了,你在获取JWT主体的时候就会报错,JWT的源码如下:
JWT过期抛异常
所以即使你的accessToken过期了,你也应该允许获取到主体的信息以方便刷新,setAllowedClockSkewSeconds的时间应该跟你的refreshToken的过期时间是一样的,此处也可以根据具体业务自行斟酌。
相关文章推荐
- asp.net core 集成JWT(二)token的强制失效,基于策略模式细化api权限
- Laravel (Lumen) 中使用JWT-Auth刷新token的问题
- Lumen中使用JWT-Auth刷新token实现方式
- laravel中api验证jwt刷新token的一个问题
- Laravel (Lumen) 解决JWT-Auth刷新token的问题
- 第三十节:Asp.Net Core中JWT刷新Token解决方案
- 前后端分离——token超时刷新策略
- JWT Token刷新方案
- 前后端分离——token超时刷新策略
- springboot jwt redis实现token刷新
- 调用JWT token设置的接口错误
- retrofit 刷新token并发处理
- jwt(JSON Web Token) 让客户端安全的回传数据
- 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
- JSON Web Token(JWT)原理和用法介绍
- JavaWebToken(JWT)的生成和解析
- python使用json web token (jwt)实现http api的加密传输
- 自己写token类(无视jwt)
- JSON Web Token(JWT)学习笔记
- JWT (Json Web Token)教程