JWT主动校验Token是否过期

2022-08-04 2939238 来自北京

JSON Web Token(简称 JWT) 是目前最流行的跨域认证解决方案
在前后端分离开发时为什么需要用户认证呢？原因是由于 HTTP 协定是不储存状态的 (stateless)，这意味着当我们透过帐号密码验证一个使用者时，当下一个 request 请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁，就要再验证一次。所以为了保证系统安全，我们就需要验证用户否处于登录状态。
JWT 组成JWT 由三部分组成:Header，Payload，Signature 三个部分组成，并且最后由. 拼接而成。
JWT 校验原理
通过前面讲解的 jwt 生成规则，jwt 前两部分是对 header 以及 payload 的 base64 编码。 当服务器收到客户端的 token 后，解析前两部分得到 header 以及 payload，并使用 header 中的算法与服务端本地私有 secret 进行签名，判断与 jwt 中携带的签名是否一致。
主动校验是否过期在一些表单提交的业务场景会去校验 Token 是否有效，如果此时 token 已过期，那么前端会提示用户重新登录。如开源字节租房小程序提交房源的场景就是如此。该操作模式会导致用户输入的数据丢失，造成用户体验很糟糕，因此在租房小程序中我们实现了主动校验 token 的功能，在我们打开表单的同时就去校验 token，此时用户并没有输入任何数据。通过此方式改善了用户的体验。
/**
 * 验证令牌是否过期
 */
public boolean isExpiration(String token) {
    try {
        Claims claims = parseToken(token);
        String userKey = getTokenKey(claims.get(Constants.LOGIN_USER_KEY).toString());
        LoginUser loginUser = redisCache.getCacheObject(userKey);
        long expireTime = loginUser.getExpireTime();
        long currentTime = System.currentTimeMillis();
        if (expireTime - currentTime <= 0)
        {
            return true;
        }
    } catch (Exception e) {
        return true;
    }
    return false;
}
/**
 * 从令牌中获取数据声明
 *
 * @param token 令牌
 * @return 数据声明
 */
private Claims parseToken(String token)
{
    return Jwts.parser()
         .setSigningKey(secret)
         .parseClaimsJws(token)
         .getBody();
}
以上分享内容在开源字节低代码平台中可免费获取，前往围观
如若转载，请注明出处：开源字节   https://sourcebyte.cn/article/212.html

 写留言

精选留言

由作者筛选后的优质留言将会公开显示，欢迎踊跃留言。

