SpringCloud的项目用JWT做身份验证,对于token过期时间的刷新策略整理如下图:
刷新策略
在登录接口中返回两个token,一个是用来请求业务接口验证身份信息的accessToken,一个是过期后用来获取新的token的refreshToken,refreshToken中不携带权限等信息,因为不需要让refreshToken去请求业务接口,只用来获取新的token,refreshToken的过期时间相对长一些,accessToken的过期时间相对短一些,这一点根据自己的业务来定。
当客户端用accessToken请求业务接口收到【证书过期】的时候,携带着refreshToken去请求【刷新token】的接口,该接口重新设置两个token的过期时间然后返回给客户端,注意:不要改变两个token中存放的信息,重新设置过期时间的代码如下:
获取JWT主体
注意这里的setAllowedClockSkewSeconds方法,如果不设置这个时间,一旦你的token过期了,你在获取JWT主体的时候就会报错,JWT的源码如下:
所以即使你的accessToken过期了,你也应该允许获取到主体的信息以方便刷新,setAllowedClockSkewSeconds的时间应该跟你的refreshToken的过期时间是一样的,此处也可以根据具体业务自行斟酌。
本文来自博客园,作者:洛神灬殇,转载请注明原文链接:https://www.cnblogs.com/liboware/p/13053046.html,任何足够先进的科技,都与魔法无异。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/70201.html
