JWT刷新token策略

Posted liboware

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JWT刷新token策略相关的知识,希望对你有一定的参考价值。

SpringCloud的项目用JWT做身份验证,对于token过期时间的刷新策略整理如下图:

 技术图片

 

刷新策略

       在登录接口中返回两个token,一个是用来请求业务接口验证身份信息的accessToken,一个是过期后用来获取新的token的refreshToken,refreshToken中不携带权限等信息,因为不需要让refreshToken去请求业务接口,只用来获取新的tokenrefreshToken的过期时间相对长一些,accessToken的过期时间相对短一些,这一点根据自己的业务来定。

       当客户端用accessToken请求业务接口收到【证书过期】的时候,携带着refreshToken去请求【刷新token】的接口该接口重新设置两个token的过期时间然后返回给客户端,注意:不要改变两个token中存放的信息,重新设置过期时间的代码如下: 

 技术图片

 
设置过期时间

 技术图片

获取JWT主体

    注意这里的setAllowedClockSkewSeconds方法,如果不设置这个时间,一旦你的token过期了,你在获取JWT主体的时候就会报错,JWT的源码如下:

 技术图片

JWT过期抛异常

         所以即使你的accessToken过期了,你也应该允许获取到主体的信息以方便刷新,setAllowedClockSkewSeconds的时间应该跟你的refreshToken的过期时间是一样的,此处也可以根据具体业务自行斟酌。

以上是关于JWT刷新token策略的主要内容,如果未能解决你的问题,请参考以下文章

IdentityServer4实战 - 谈谈 JWT Token 的安全策略

委托刷新令牌获取新JWT的基本策略

哪种 JWT 刷新策略更安全?

IdentityServer4实战 - 谈谈 JWT Token 的安全策略

Passport JWT 策略提取选项

在数据库中存储和维护 JWT 刷新令牌的最佳策略?