更好的阅读体验 \huge{\color{red}{更好的阅读体验}} 更好的阅读体验
问题分析
以往的项目大部分解决方案为单 token:
- 用户登录后,服务端颁发 jwt 令牌作为 token 返回
- 每次请求,前端携带 token 访问,服务端解析 token 进行校验和鉴权
存在的问题:
- 有效期设置问题:有效期设置需要对时间做平衡,不能太短也不能太长
- 续期问题:一旦过期,用户必须重新登录,很难做无感刷新
- 无状态问题:token 是无状态的,单 token 颁发后服务端无法主动使其失效
原理解析
这里引入双 token 机制:
- accessToken:时间较短,一般为 5 分钟或者更短
- refreshToken:时间较长,一般为 1 到 3 天
登录过程:
- 用户携带用户名和密码登录
- 服务端为其颁发 accessToken 和 refreshToken
三验证环节:
- 一验证:前端请求携带 accessToken,验证是否过期,不过期放行,过期则进入第二个验证环节
- 二验证:前端请求携带 refreshToken,验证是否过期,不过期进入第三个验证环节,过期则要求用户重新登录
- 三验证:在 redis 种验证 refreshToken 是否存在,存在则颁发新的 accessToken 和 refreshToken 返回前端更新,将原来的 refreshToken 删除,再把新的 refreshToken 存入 redis
该机制的 UML 图如下:
最佳实践
生成 Token
基于 SpringCache 来操作 redis,利用 MD5 算法对 token 进行加密,防止其作为键的后缀存入时过长,导致”大KEY“的问题出现
public class CommonRedisConstants {public static class RedisKey {/*** refreshToken 前缀*/public static final String REFRESH_TOKEN_PREFIX = "REFRESH_TOKEN_PREFIX_%s";}
}
@Resource
private StringRedisTemplate stringRedisTemplate;// 生成 accessToken
private String createAccessToken(Map<String, Object> claims) {// 这里是利用 jjwt 编写的工具类方法,读者可以自行实现相关工具类return JwtUtils.generateAccessToken(claims);
}// 生成 refreshToken 并存入 redis
private String createRefreshToken(Map<String, Object> claims) {String refreshToken = JwtUtils.generateRefreshToken(claims);// redisKey 的形式为固定前缀+md5转换的tokenString redisKey = String.format(CommonRedisConstants.RedisKey.REFRESH_TOKEN_PREFIX, MD5Util.generateMd5Str(refreshToken));// 设置有效期为 3 daysthis.stringRedisTemplate.opsForValue().set(redisKey, refreshToken, Duration.ofDays(3L));return refreshToken;
}
校验 Token
基于自定义注解和 Spring AOP 实现校验 token,并将解析后的信息存储到上下文
自定义的注解:
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CurrentUser {
}
AOP 切面:
@Aspect
@Component
@Slf4j
public class CurrentUserAspect {private final HttpServletRequest request;public CurrentUserAspect(HttpServletRequest request) {this.request = request;}@Before("@annotation(currentUser)")public void setUserContext(CurrentUser currentUser) {String token = request.getHeader("Authorization");if (token != null) {try {// 这里是利用 jjwt 编写的工具类方法,读者可以自行实现相关工具类Claims claims = JwtUtils.parseToken(token);// 这里是利用 ThreadLocal 存储用户信息到上下文,读者可以自行实现相关工具类UserContextUtil.set(claims);} catch (Exception e) {// token 解析失败后的逻辑}} else {// 请求头未携带 token 的逻辑}}// 方法执行完后释放资源,防止内存泄漏@After("@annotation(currentUser)")public void clearUserContext(CurrentUser currentUser) {UserContextUtil.clear();}}
刷新 Token
前端调用刷新 token 后,服务端返回新的 accessToken 和 refreshToken:
@Data
@AllArgsConstructor
public class AdminLoginVO {private String accessToken;private String refreshToken;
}
public AdminLoginVO refreshLogin(String refreshToken) {// 校验 token 是否有效boolean isValidated = JwtUtils.validateToken(refreshToken);if (!isValidated) {// token }/*** 校验 redis 里的 refreshToken 是否失效* 未失效:将 redis 里的 refreshToken 删除,重新颁发新的 accessToken 和 refreshToken* 已失效:重新登录*/String redisKey = String.format(CommonRedisConstants.RedisKey.REFRESH_TOKEN_PREFIX, MD5Util.generateMd5Str(JwtUtils.preDecodeToken(refreshToken)));Boolean hasKey = this.stringRedisTemplate.hasKey(redisKey);if (ObjectUtil.notEqual(hasKey, Boolean.TRUE)) {// 原 token 过期或已经使用过的逻辑}// 删除原 tokenthis.stringRedisTemplate.delete(redisKey);// 颁发新的 accessToken 和 refreshTokenClaims claims = JwtUtils.parseToken(refreshToken);String accessToken = createAccessToken(claims);refreshToken = createRefreshToken(claims);return new AdminLoginVO(accessToken, refreshToken);}