刷新令牌应该如何设计
为什么要刷新Token的过期时间
我们在定义JwtUtil工具类的时候,生成的Token都有过期时间。那么问题来了,假设Token过期时间为15天,用户在第14天的时候,还可以免登录正常访问系统。但是到了第15天,用户的Token过期,于是用户需要重新登录系统。
HttpSession的过期时间比较优雅,默认为15分钟。如果用户连续使用系统,只要间隔时间不超过15分钟,系统就不会销毁HttpSession对象。JWT的令牌过期时间能不能做成HttpSession那样超时时间,只要用户间隔操作时间不超过15天,系统就不需要用户重新登录系统。
实现这种效果的方案有两种:双Token和Token缓存,这里重点讲一下Token缓存方案。
Token缓存方案是把Token缓存到Redis,然后设置Redis里面缓存的Token过期时间与正常Token的相同,或者缓存Token时间是两倍,然后每一次登录都会刷新缓存Token的过期时间。
1、本地Token和缓存Token时间相同
简单来说就是 每次登录都会刷新缓存Token,然后本地Token过期了(假设15天过期),再去看缓存Token是否过期:
①Token失效,但是缓存还存在的情况: 如果没过期,就重新生成一个本地Token,随着响应消息发回去。
②Token失效,缓存也不存在的情况: 如果过期了,那么代表用户连续15天都没有登录,即缓存Token15天内都没被刷新,所以会过期,就需要重新登陆。
2、缓存Token时间是本地Token时间的两倍(项目小白办公系统使用的方案)
不是每次登录都会刷新缓存Token。只有在本地Token过期了,且缓存Token没过期的时候才会去更新本地Token。
①Token失效,但是缓存还存在的情况: 假如本地Token是15天过期,那么15天之前我几乎每天都登录,等到15天以后,即15号-30号这个时间内,我们的缓存Token不会过期,只要在这个时间内登录一次,服务器就会生成一个新的本地Token,并且更新缓存Token的时间。
②Token失效,缓存也不存在的情况: 假设15号本地Token过期后,15号-30号内都没有登陆过,那么缓存Token也会过期,相当于连续15天都没有登陆过。这样就必须重新登陆了。
客户端如何更新令牌
在我们的方案中,服务端刷新Token过期时间,其实就是生成一个新的Token给客户端。那么客户端怎么知道这次响应带回来的Token是更新过的呢?这个问题很容易解决。
只要用户成功登陆系统,当后端服务器更新Token的时候,就在响应中添加Token。客户端那边判断每次Ajax响应里面是否包含Token,如果包含,就把Token保存起来,覆盖原来的Token就可以了。
如何在响应中添加令牌
我们定义OAuth2Filter类拦截所有的HTTP请求,一方面它会把请求中的Token字符串提取出来,封装成对象交给Shiro框架;另一方面,它会检查Token的有效性。如果Token过期,那么会生成新的Token,分别存储在ThreadLocalToken和Redis中。
之所以要把新令牌保存到ThreadLocalToken里面,是因为要向AOP切面类传递这个新令牌。虽然OAuth2Filter中有doFilterInternal()方法,我们可以得到响应并且写入新令牌。但是这个做非常麻烦,首先我们要通过IO流读取响应中的数据,然后还要把数据解析成JSON对象,最后再放入这个新令牌。
如果我们定义了AOP切面类,拦截所有Web方法返回的R对象,然后在R对象里面添加新令牌,这多简单啊。但是OAuth2Filter和AOP切面类之间没有调用关系,所以我们很难把新令牌传给AOP切面类。
这里我想到了ThreadLocal,只要是同一个线程,往ThreadLocal里面写入数据和读取数据是完全相同的(可以理解为每个线程独享的一个小盒子)。在Web项目中,从OAuth2Filter到AOP切面类,都是由同一个线程来执行的,中途不会更换线程。所以我们可以放心的把新令牌保存都在ThreadLocal里面,AOP切面类可以成功的取出新令牌,然后往R对象里面添加新令牌即可。
ThreadLocalToken是我自定义的类,里面包含了ThreadLocal类型的变量,可以用来保存线程安全的数据,而且避免了使用线程锁。
