JWT 续签方案解析与实战

最新推荐文章于 2026-05-22 19:20:46 发布
原创 最新推荐文章于 2026-05-22 19:20:46 发布 · 2.7k 阅读 ·
大模型引用 2
·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
cknow-ai 小健学 Java

cknow-ai 关注

标签
#java #spring
分类 后端开发

1. 引言

JWT(JSON Web Token)是一种常用的身份验证方式,它具有无状态、易扩展等特点,广泛应用于前后端分离项目。然而,JWT 采用固定过期时间,导致在 Token 过期后用户需要重新登录,影响用户体验。因此,我们需要一种 JWT 续签方案,保证安全性的同时提高用户体验。

图片

2. JWT 基本概念

2.1 JWT 组成

JWT 由三部分组成:

  • Header(头部):存储 Token 类型和签名算法。

  • Payload(载荷):包含用户信息和声明(Claims)。

  • Signature(签名):用于验证 Token 是否被篡改。

示例 JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

2.2 JWT 过期机制

JWT 在签发时通常包含 exp(过期时间)字段,例如:

  "sub": "user123",  "exp": 1710022400}

一旦 exp 时间到达,Token 就会失效。

图片

3. JWT 续签方案(详细解析)

在 JWT 认证体系中,Token 的续签涉及安全性、性能和用户体验的平衡。以下是三种常见的续签方案的详细说明,并探讨其优缺点及适用场景。

3.1 方案 1:短 Token + 刷新 Token 机制(常见方案)

3.1.1 方案原理

  1. 用户登录时,服务器返回 短 Token(Access Token) 和 Refresh Token

  2. Access Token(短 Token) 设定较短的有效期(如 15 分钟),用于用户的身份验证。

  3. Refresh Token 设定较长的有效期(如 7 天或 30 天),用于重新获取新的 Access Token。

  4. 当 Access Token 过期时,前端使用 Refresh Token 请求新的 Access Token。

  5. 如果 Refresh Token 也过期,则需要用户重新登录。

3.1.2 方案优缺点

✅ 优点

  • Access Token 失效后,即使被盗,攻击者的可用时间有限。

  • 适用于大多数 Web 应用,兼顾安全性与用户体验。

  • Refresh Token 由服务器控制,可用于强制用户登出。

❌ 缺点

  • 需要额外存储 Refresh Token(一般存储在 HttpOnly Cookie 或 数据库)。

  • 需要额外的接口处理 Refresh Token 续签。

  • Refresh Token 仍有一定风险,若被盗仍可换取新的 Access Token。

3.1.3 适用场景

  • 适用于 大多数 Web 和移动端应用,如企业管理系统、社交应用等。

  • 适用于 希望减少用户频繁登录的场景,但对安全性要求较高。

3.2 方案 2:滑动过期(Sliding Expiration)

3.2.1 方案原理

  1. 每次用户请求时,服务器检查 Access Token 的剩余过期时间。

  2. 如果剩余时间 小于一定阈值(如 5 分钟),则生成新 Token 并返回。

  3. 用户活跃时,Token 会不断续期,避免频繁登录。

  4. 如果用户长时间不操作(超过 Token 总时长),则 Token 彻底过期,需要重新登录。

3.2.2 方案优缺点

✅ 优点

  • 用户活跃时,Token 续期无感知,提升体验。

  • 适用于 需要频繁交互的应用,如即时通讯、在线编辑等。

  • 只要用户在一定时间内持续使用,Token 不会过期。

❌ 缺点

  • 容易导致 Token 被长期滥用,攻击者可持续使用被盗 Token。

  • 服务器压力较大,因为每次请求都可能涉及 Token 续期。

3.2.3 适用场景

  • 适用于 高频访问应用,如 IM、在线文档编辑、直播平台。

  • 适用于 用户行为活跃且需要长时间在线的场景

3.3 方案 3:基于 Redis 存储 Token 状态

3.3.1 方案原理

  1. 服务器在 Redis 存储 Token 及其状态,并设定过期时间。

  2. 每次用户请求时,服务器从 Redis 读取 Token 状态,校验其是否有效。

  3. 续签时,服务器 撤销旧 Token,生成新 Token 并更新 Redis

  4. 如果用户登出或被封禁,服务器可以 主动删除 Redis 记录,令 Token 失效

3.3.2 方案优缺点

✅ 优点

  • 支持服务器主动让 Token 失效,避免 Token 被长期滥用。

  • 提升安全性,即使 Token 被盗,也可立即废止。

  • 适用于需要用户管理和权限控制的场景

❌ 缺点

  • 增加了 Redis 存储和查询成本,影响系统性能。

  • 需要额外维护 Token 状态,增加复杂度。

3.3.3 适用场景

  • 安全要求较高的应用,如 金融系统、电商后台管理系统

  • 需要主动撤销 Token 的场景,如管理员强制登出用户。

  • 适用于分布式架构,Redis 可以共享 Token 状态。

图片

4. 实战代码:JWT 续签实现(Spring Boot)

4.1 方案 1:短 Token + 刷新 Token 实现

@RestController@RequestMapping("/auth")public class AuthController {      @PostMapping("/refresh")      public ResponseEntity<?> refreshToken(@RequestParam String refreshToken) {    try {          Claims claims = Jwts.parser()                         .setSigningKey("mySecretKey")                         .parseClaimsJws(refreshToken)                          .getBody();                                  String newToken = JwtUtil.generateToken(claims.getSubject(), false);          return ResponseEntity.ok(newToken);           } catch (ExpiredJwtException e) {             return ResponseEntity.status(HttpStatus.UNAUTHORIZED)             .body("Refresh Token 过期");          }   }}

4.2 方案 2:滑动过期实现

import io.jsonwebtoken.*;import java.util.Date;
public class JwtUtil {      private static final String SECRET_KEY = "mySecretKey";      private static final long EXPIRATION_TIME = 15 * 60 * 1000; // 15分钟      private static final long SLIDING_WINDOW = 5 * 60 * 1000; // 5分钟    
  public static String generateToken(String userId) {            return Jwts.builder()                    .setSubject(userId)                    .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))                    .signWith(SignatureAlgorithm.HS256, SECRET_KEY)                    .compact();      }      public static boolean shouldRenewToken(Date expiration) {            return (expiration.getTime() - System.currentTimeMillis()) < SLIDING_WINDOW;      }}

​​​​​
@RestController@RequestMapping("/secure")public class SecureController {      @GetMapping("/data")      public ResponseEntity<?> getData(@RequestHeader("Authorization") String token) {    try {                  Claims claims = Jwts.parser()          .setSigningKey("mySecretKey")          .parseClaimsJws(token.replace("Bearer ", ""))          .getBody();       if (JwtUtil.shouldRenewToken(claims.getExpiration())) {         String newToken = JwtUtil.generateToken(claims.getSubject());         return ResponseEntity.ok().header("Authorization", "Bearer " + newToken).body("新Token已生成");      }        return ResponseEntity.ok("请求成功,无需续签");      } catch (ExpiredJwtException e) {          return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Token 过期");     }   }}

4.3 方案 3:基于 Redis 存储 Token 状态实现

import org.springframework.data.redis.core.StringRedisTemplate;import org.springframework.stereotype.Service;import java.util.concurrent.TimeUnit;@Servicepublic class RedisTokenService {        private final StringRedisTemplate redisTemplate;    private static final long TOKEN_EXPIRATION = 15 * 60;        public RedisTokenService(StringRedisTemplate redisTemplate) {              this.redisTemplate = redisTemplate;        }            public void storeToken(String userId, String token) {              redisTemplate.opsForValue().set("TOKEN:" + userId, token, TOKEN_EXPIRATION, TimeUnit.SECONDS);    }            public boolean isTokenValid(String userId, String token) {                String storedToken = redisTemplate.opsForValue().get("TOKEN:" + userId);                return token.equals(storedToken);        }}

4.4 额外功能:黑名单机制

@Servicepublic class TokenBlacklistService {      private final StringRedisTemplate redisTemplate;        public TokenBlacklistService(StringRedisTemplate redisTemplate) {        this.redisTemplate = redisTemplate;  }    public void addToBlacklist(String token) {       redisTemplate.opsForValue().set("BLACKLIST:" + token, "true", 1, TimeUnit.HOURS);  }                                public boolean isBlacklisted(String token) {               return redisTemplate.hasKey("BLACKLIST:" + token);  }}

图片

5. 选择合适的 JWT 续签方案

方案

适用场景

安全性

复杂度

短 Token + Refresh Token

适用于大多数 Web 应用

滑动过期

适用于高频访问应用

Redis 方案

适用于安全要求高的应用

最高

6. 总结

JWT 续签方案的选择取决于 安全性 和 用户体验。短 Token + Refresh Token 方案是目前最常见的方式,兼顾安全性和可用性。如果需要更高的控制能力,可以结合 Redis 进行 Token 状态管理。

如果这篇文章对你有所帮助,欢迎 点赞、收藏、转发!🎯

**

如需Java面试题资料,可关注公众号:小健学Java,回复“面试”即可获得!
**

图片

点赞 点赞 77
评论 0
书签 书签 37
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
【SSO单点登录07】JWT续签问题
m0_63546281的博客
04-21 968
在服务器端可以校验即将过期的token,比如将token存在于redis中,可以用token的TTL去获取token的过期时间,如果时间比较短,就可以顺便返回一个新的token,这种方式对于前后端都不友好,客户端和服务端都需要去判断逻辑,会带来很大的性能损耗。这种场景比较适用于小程序,可以在用户每次进入小程序时就去返回一个新的token,只要token的有效时间合适,是一个不错的选择方案,但在单点登录的web端,这种方式不太合适,毕竟web端不像小程序端可以直接返回用户的一些用户标识。
JWT中的Token
m0_64245578的博客
08-18 1360
jwt(json web token的缩写)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对,进行签名。通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。
一篇了解什么是Token、什么是Jwt
做点有意思的事情
12-25 1万+
Token是访问资源接口(API)时所需要的资源凭证,也成为令牌传统的Token令牌userId(用户信息)将该token存放到Redis中,返回对应的Token返回给客户端。客户端每次访问后端请求的时候,会传递该token在请求中 (可以作为请求头传递,或者请求路径传递等),服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。JWT的全称是,是一种流行的跨域认证解决方案。它将用户信息加密到。
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
权限校验差点把我劝退微服务:3天踩坑,Spring Security + JWT + Gateway 统一认证实战复盘
最新发布
m0_75078419的博客
05-22 456
权限校验差点把我劝退微服务Spring Security + JWT + Gateway 统一认证实战复盘
在Gin中使用JWT做认证以及JWT续签方案
Monkey_D_Newdun的博客
01-31 3592
记录了一下在Gin中简单的使用JWT,并且想了一个简单的Token续签方案,不需要服务端保存Token的状态,前端也不需要过多的配合
Shiro整合JWT:解决jwt注销和续签的问题
你今天真好看呀
08-01 4174
文章目录Shiro管理用户认证时jwt续签和注销的问题1. 场景一:token的注销问题(黑名单)2. 场景二:token的续签问题3. 项目中的实现3.1 封装JWT工具类3.2 配置Shiro的自定义认证类3.3 登录和退出登录(token注销)3.3.1 登录接口3.3.2 退出登录3.3.3 在shiro的自定义认证类中添加认证规则3.4 修改密码(token注销)3.5 token续签问题(token续签)3.6 用户的角色发生了变化(token注销)3.6.1 更新角色3.6.2 删除角色3.6
JWT面试常见问题
Mingju's Blog
11-12 1万+
JWT面试常见问题 jwt和security的对比: JWT的优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 JWT的缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服...
基于jwt的token验证、原理及流程
z_ssyy的博客
05-31 8713
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT Token
weixin_45072119的博客
06-17 2578
JWT是json web token的缩写,它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
JWT续期问题,ChatGPT解决方案
weixin_64051447的博客
04-04 1948
如果令牌有效,方法将使用getUserIdFromRefreshToken方法获取令牌关联的用户信息,然后使用generateAccessToken方法生成一个新的JWT访问令牌,并将其返回。如果令牌无效,则抛出异常。无状态JWT不需要在服务端存储任何状态信息,因此可以避免因为更新JWT访问令牌而导致后续请求使用旧的JWT访问令牌的问题。在每个请求处理程序中使用同步机制(例如,Java的synchronized关键字),以确保在更新JWT访问令牌期间没有其他请求正在使用旧的JWT访问令牌。
使用Gin框架集成JWT,源码、详解、面试问题
乐观的阿锡的博客
08-23 2140
使用Gin框架集成JWT,源码、详解、面试问题 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、JWT的组成 1、JWT
十分钟,带你看懂JWT(Json Web Token)
cul1n的博客
02-20 3069
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWTJWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
JWT token过期后自动续期的解决方案
leeta的博客
08-20 4864
在文中给出的例子中,仅实现了登录认证,但是并没有设置token的过期时间,在实际应用中,token一般都需要设置过期时间。 如何设置token的过期时间 前文《Java面试常见问题:JWT是什么?》介绍过,JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括: iss(Issuser):JWT的签发主体; sub(Subject):JWT的所有者; aud(Audience):JWT的接..
JwtToken介绍使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 1万+
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
3种JWT验证和续签的策略
weixin_63800030的博客
01-30 1393
分享下个人总结的3 种JWT验证和续签的策略
Jwt的Token详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2708
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小健学 Java

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值