原创力文档- 2
- 0
- 约7.35千字
- 约 5页
- 2025-10-16 发布于北京
- 举报
2-12刷新令牌应该如何设计?
25:8000/project-1/doc-24
一、为什么要刷新Token的过期时间?
我们在定义JwtUtil工具类的时候,生成的Token都有过期时间。那么问题来了,假设过
Token
期时间为15天,用户在第14天的时候,还可以免登录正常系统。但是到了第15天,用户的
Token过期,于是用户需要重新登录系统。
HttpSession的过期时间比较优雅,默认为15分钟。如果用户连续使用系统,只要间隔时间不超
过15分钟,系统就不会销毁HttpSession对象。JWT的令牌过期时间能不能做成HttpSession
那样超时时间,只要用户间隔操作时间不超过15天,系统就不需要用户重新登录系统。实现这种
效果的方案有两种:双Token和Token缓存,这里重点讲一下Token缓存方案。
Token缓存方案是把Token缓存到Redis,然后设置Redis里面缓存的过期时间为正常
Token
Token的1倍,然后根据情况刷新Token的过期时间。
Token失效,缓存也不存在的情况
当第15天,用户的Token失效以后,我们让Shiro程序到Redis查看是否存在缓存的Token,如
果这个Token不存在于Redis里面,就说明用户的操作间隔了15天,需要重新登录。
Token失效,但是缓存还存在的情况
如果Redis中存在缓存的Token,说明当前Token失效后,间隔时间还没有超过15天,不应该让
用户重新登录。所以要生成新的Token返回给客户端,并且把这个Token缓存到Redis里面,这
种操作成为刷新Token过期时间。
二、客户端如何更新令牌?
在我们的方案中,服务端刷新Token过期时间,其实就是生成一个新的给客户端。那么
Token
客户端怎么知道这次响应带回来的Token是更新过的呢?这个问题很容易解决。
只要用户成功登陆系统,当后端服务器更新Token的时候,就在响应中添加。客户端那
文档评论(0)