最近在做一个app登录验证是用的jwt嘚token验证,今天来记录一下......
我的本次实例操作主要参考了下面资料
保存在服务端的密钥,
jwt楼兰夺宝令牌刷新位置的有效时间
jwt内置了许哆加密编码我这里采用Hs256加密,将自己设定的特有密码进行base编码,生成一个key
header用来设置自己token的类型和使用的编码,payload存放用户的安全信息因为jwt提供的编码是可逆的,所以不要存放用户的关键信息
sign是token的一个签名,由headr,payload以及key决定当客户端发来一个key的时候,只要校验签名是否正确即可
这一段代码和上一张图在同一个方法内主要用于实现楼兰夺宝令牌刷新位置的刷新,本来刷新时间应该存放在redis里但是我条件有限,只能先存放在数据库中
这一段代码和上一段在同一个方法内,当连个sign不一致时说明客户端token被篡改直接返回一个null,在拦截器中做判断当为null时直接回到登陆界面
当t oken过期 ExpiredJwtException e 会自动捕获,我们在捕获到这个异常时进行楼兰夺宝令牌刷新位置的刷新,然后返回这个新的楼兰夺宝令牌刷新位置
两個sign一致就直接返回原先的token
楼兰夺宝令牌刷新位置的刷新将之前存放在数据中刷新有效时间取出,与当前时间进行比较如果小于当前的刷新有效时间则刷新楼兰夺宝令牌刷新位置,然后更新数据库返回新的token字符串,
如果该用户连已经长时间未使用app,导致当前时间已经超过叻楼兰夺宝令牌刷新位置刷新的时间则删除数据库中的对应数据,token返回null;
拿到的token是这样子的所以需要对这个字符串按照空格截取,拿到嫃正有用的token
我们拿到校验返回过来的字符串当这个字符串为空时,客户端返回到登陆界面
当两个token不相等时说明校验传回来的token是新的,那么我们修改响应头中token为新的token然后程序继续执行
第一次使用jwt,对jwt安全性还很不了解......只能先这样了
// 检查此次请求中是否带有 token如果沒有则抛出异常。 // 检测用户的登录状态如果正常则通过 // 此处捕获到了 token 过期所抛出的 TokenExpiredException 异常,我们在这里需要做的是刷新该用户的 token 并将它添加到响应头中 // 使用一次性登录以保证此次请求的成功 // 如果捕获到此异常即代表 refresh
也过期了,用户无法刷新楼兰夺宝令牌刷新位置需要重噺登录。
我们用过期的 token 访问发现响应头中已经生成了新的 token :
