JWT【关于刷新和作废的思考】

基于token的签发和验证衍生出的刷新和作废,有人说JWT不适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。

虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:

  • 登录后7天不用重复登录
  • 超过30天没有访问网站则需重新登录,否则一直有效
  • 修改密码功能

Token续签问题

对于第一个问题,我们可以在jwt的 Payload 里面设置一个过期时间,比如说7天,超过这个时间Token无效。但是如果只是简单的这么做的话就会带来另一个问题: 假如一个用户正在访问网站,突然Token失效了,用户就会掉登录,体验太差。

所以,大部分时候我们都是采用第二种策略: 超过xx天不访问网站则需要重新登录,如果中间连续访问网站的话则不要重新登录,对于很多手机App,我们可不希望用户天天输账号密码登录,但如果永久有效可能会带来一些安全问题

这其实就是Token的续签问题,我们看一下网上提到的一些解决方案:

1.更新Payload里面的过期时间。

JWT的Payload里面可以设置一个过期时间,我们可以在用户每次访问的时候把这个过期时间更新一下。由于JWT的secret加密机制,只要exp变了,整个Token就变了,所以这种机制相当于每次重新颁发了一个新的Token。

这种方案简单粗暴,存在性能问题

2.快过期的时候更新Token

比如说离过期时间还有不到1个小时的时候才更新Token,性能上面可能好一点,但是如果一个用户一直在访问,但是恰好最后一个1个小时内没有访问网站,那岂不是也gg了?

那么可以考虑如下设计:
Token过期时间越短越安全,如设置Token过期时间15分钟,建议更换时间设置为Token前5分钟,则Token生命周期如下:

时间 Token类型 说明
0-10分钟 正常Token 正常访问
10-15分钟 濒死Token 正常访问,返回新Token,建议使用新Token
>15分钟 过期Token 需校验是否正常过期。正常过期则能访问,并返回新Token;非过期Token拒绝访问

3.使用Cache记录Token过期时间

Token本身不设置过期时间,然后我们在redis或memcached等缓存里面单独设置一个有效期,每次访问的时候刷新过期时间。

其实这个方案和使用session机制无异,session也可以保存在redis或者memcached里面的。所以,有人戏说这是重新发明了session 。。。

4.使用refreshToken

借鉴 oauth2 的设计,返回给客户端一个 refreshToken,允许客户端主动刷新JWT。一般而言,jwt 的过期时间可以设置为数小时,而 refreshToken 的过期时间设置为数天。

前端解码token。拿到过期时间,和当前时间进行判断。如果快过期,主动调用获取新token.
缺点:前端每次请求需要解码判断
优点:后端压力小,不需要存储。

5.其它方案

最后说一下我觉得比较合适的方案,当服务器接受到一个Token后,如果它已经过期,但是已过期的时间在xx天内,比如说30天,我们就返回一个新的Token。比如说Token的有效期是7天,但是如果过期时间不超过30天就可以用旧的Token换取一个新的Token,如果超过了30天那就需要重新登录。

Token作废问题

当用户退出登录、修改密码之后,讲道理我们是需要作废之前的Token,比如说用户的Token被盗用了,只能通过修改密码来防止账号被盗用。如果使用session机制就很简单了,我们清空服务器session,或者使用新的session替换之前旧的session也行。

由于Token是无状态的,理论上只要不过期就可以一直用,你说这咋办?为了安全,必须得做一些额外的工作!

1.Cache

如果你之前是采用把Token存在cache里面这种方案,那么你只要删除cache里面的key就可以了。

2.用户关联

有人说,建一张表把uid和Token关联起来,这样一个用户只有一个有效的Token,或者存cache也行,建立uid和Token的一对一关系,这方案和1差不多。无论是存表还存cache,每次访问都必不可免的需要访问库或cache。

3.黑名单

在数据表或cache里面维护一个黑名单,也避免不了查库或者查cache,为了避免这个库内容过多,可以定期清理数据库,或者给cache设置一个有效期。比如说在上面说的例子里面,有效期应该设置为30天,30天之后就不用管了。

其实我比较喜欢第3种方案,第2种方案如果用户多了对库压力大,而第3种,除非用户经常修改密码或者退出登录,不然这个数据集不会很大。

如果不考虑安全,我们完全可以不考虑Token作废问题,那么我们就必须在防止XSS攻击上面做好工作,比如说使用https,cookies设置httpOnly。。。




【令牌的签发】
首先用户登录进来,我们先验证用户名/密码,验证通过后我们会生成两个 token(access_token、refresh_token 他们的唯一区别是一个过期时间短一般几个小时,一个过期时间长一般设置7天) 然后把一些必要的参数封装成 LoginRespVO 响应回客户端。token 主要包含 用户id、用户登录名、用户所拥有的角色、用户所拥有的权限、和签发单位标识。
然后由客户端浏览器存储起来

【令牌的重复使用】
令牌发放之后,借鉴Oauth2的设计:当access token过期而refresh token有效的时候,客户端使用后者重新获取新的access token,而老的access_token 用redis 标记起来并设置过期时间过期时间为该令牌剩余的过期时间(老的access_token在它剩余的过期时间里也要保持可使用)。每次使用refresh token刷新access token的时候,不光更新access token,refresh token 同样也更新。

【令牌的作废①】
在用户修改了密码,或登出时:清空 shiro/SpringSecurity等安全框架的一些缓存信息,然后把 access_token 加入黑名单、refresh_token 加入redis里维护的黑名单,并且设置过期时间过期时间为该令牌剩余的过期时间(发放的access_token/refresh_token 过期了,与之对应的黑名单也不用再维护了)。

【令牌的作废②】
在后台修改了角色/菜单权限时:把相关联用户都用redis标记为需要刷新令牌(更改jwt载荷里的用户权限、角色等信息)过期时间为access_token 生成的过期时间

【令牌的验证】
创建一个拦截器拦截用户请求

  • 判断客户端是否携带accessToken
  • 判断用户是否被锁定
  • 判断用户是否被删除
  • 判断用户是否是否主动退出(查黑名单)
  • 判断access_token 是否通过校验(校验是否过期)
  • 判断用户是否需要刷新(查需要刷新的名单)
    在判断用户是否需要刷新时,要注意:
    需要排除重新登录的用户,重新登录的用户,已经签发了新的token,新token里包含新的权限信息,所以不需要重新刷新了。就要比较这个accessToken和JWT_REFRESH_KEY+userId两者的剩余过期时间。如果JWT_REFRESH_KEY+userId大于accessToken说明这个 accessToken不是重新生成的。
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,743评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,296评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,285评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,485评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,581评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,821评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,960评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,719评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,186评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,516评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,650评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,329评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,936评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,757评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,991评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,370评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,527评论 2 349