JWT刷新token策略
2023-02-18 16:24:00 时间
SpringCloud的项目用JWT做身份验证,对于token过期时间的刷新策略整理如下图:
![]()
刷新策略
在登录接口中返回两个token,一个是用来请求业务接口验证身份信息的accessToken,一个是过期后用来获取新的token的refreshToken,refreshToken中不携带权限等信息,因为不需要让refreshToken去请求业务接口,只用来获取新的token,refreshToken的过期时间相对长一些,accessToken的过期时间相对短一些,这一点根据自己的业务来定。
当客户端用accessToken请求业务接口收到【证书过期】的时候,携带着refreshToken去请求【刷新token】的接口,该接口重新设置两个token的过期时间然后返回给客户端,注意:不要改变两个token中存放的信息,重新设置过期时间的代码如下:
设置过期时间
获取JWT主体
注意这里的setAllowedClockSkewSeconds方法,如果不设置这个时间,一旦你的token过期了,你在获取JWT主体的时候就会报错,JWT的源码如下:
JWT过期抛异常
所以即使你的accessToken过期了,你也应该允许获取到主体的信息以方便刷新,setAllowedClockSkewSeconds的时间应该跟你的refreshToken的过期时间是一样的,此处也可以根据具体业务自行斟酌。
相关文章
- MySQL(1) - 用户管理及root密码修改
- Jmeter系列(40)- 详解 Jmeter 图形化 HTML 压测报告
- Jmeter系列(39)- 详解 Jmeter CLI 模式
- Jmeter系列(38)- Jmeter 分布式测试
- Jmeter系列(37)- 跨平台运行 Jmeter,CSV 文件路径设置
- Jenkins操作手册 - 巨详细,一篇足矣!
- 【JVM实战系列】「监控调优体系」实战开发arthas-spring-boot-starter监控你的微服务是否健康
- 【Spring专题】「开发指南」夯实实战基础功底之解读logback-spring.xml文件的详解实现
- 精华推荐 |【深入浅出Sentinel原理及实战】「原理探索专题」完整剖析Alibaba微服务架构体系之轻量级高可用流量控制组件Sentinel(1)
- 【深入浅出Spring原理及实战】「源码原理实战」从底层角度去分析研究PropertySourcesPlaceholderConfigurer的原理及实战注入机制
- 精华推荐 | 【深入浅出RocketMQ原理及实战】「性能原理挖掘系列」透彻剖析贯穿RocketMQ的事务性消息的底层原理并在分析其实际开发场景
- 深度剖析 | 【JVM深层系列】[HotSpotVM研究系列] JVM调优的"标准参数"的各种陷阱和坑点分析(攻克盲点及混淆点)「 1 」
- 【JVM故障问题排查心得】「内存诊断系列」Docker容器经常被kill掉,k8s中该节点的pod也被驱赶,怎么分析?
- 【深入浅出SpringCloud原理及实战】「SpringCloud-Alibaba系列」微服务模式搭建系统基础架构实战指南及版本规划踩坑分析
- 【秒杀购物商城业务服务】「分布式架构服务」盘点中间件服务的高可用模式及集群技术的方案分析
- 作者推荐 | 【分布式技术专题】「架构设计方案」图解学习法总结集群模式下的各种软负载均衡策略实现及原理分析
- 【分布式技术专题】「架构设计方案」盘点和总结秒杀服务的功能设计及注意事项技术体系
- Kafka技术专题之「性能调优篇」消息队列服务端出现内存溢出OOM以及相关性能调优实战分析
- 深入浅出学习透析Nginx服务器的基本原理和配置指南「初级实践篇 」
- 深入浅出学习透析 Nginx 服务器的基本原理和配置指南「运维操作实战篇」