token无感刷新+处理并发的后端方案

编程就是n踢r2024-11-03 21:41

问题描述:

当用户通过登陆后进入一个web网站,会把token保存到localStorage。假设token过期时间30min。

那么当用户在网站快乐地玩耍了30min后,这时进行了一次提交表单,它会被重定向到登陆页面。

作为用户:我表单填了这么久,点击提交时让我重新登陆?我的体验很不好。

jwt的好处和局限

jwt的好处是:服务器无需存储这些登陆的状态

而它的局限是:服务器无法主动地通知用户"你的token过期了,我重新给你一个"。

如何解决

方案一:双token

在登陆时我们会生成俩个token

  • token:表示正常情况下登陆凭证
  • refresh-token:表示需要刷新情况下登陆凭证

假设前者(token)设置过期时间为30min,后者为1天。

流程

  1. time=0min,用户成功登陆,后端返回俩个token(token和refresh-token),前端把它俩保存到localStorage
  2. time=10min,用户进行了一次查询,前端将俩个token都发给后端,后端检验token,有效,返回结果,用户很开心!
  3. time=35min,用户提交了表单,前端还是将俩个token发给后端;后端检验token,过期;检验refresh-token,有效,后端认为这是要刷新token,生成新的token和refresh-token,成功返回数据和双token。前端把数据渲染,把双token保存。

token正常过期的情况:

当然,token可以正常过期,如果在检验时refresh-token也过期,那就说明正常过期

假设time=0min时用户登陆,time=2天时用户提交了表单,那么后端认为这是正常过期,用户需要重新登陆。

流程图如下:

token刷新并发问题

现在很多登陆是可以多端的,当多端并发都去尝试刷新token时,会导致token被重复刷新

方案二:刷新时用分布式锁

可以引入redis缓存中间件,使用缓存加速并处理并发刷新问题。

将双token生成后存入redis。当需要刷新token时,采用double-check+获取关于refresh-token的分布式锁来实现。

伪代码如下:

// 验证和刷新Token的方法

public String validateAndRefreshToken(String userId, String accessToken, String refreshToken) {

String storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

String storedRefreshToken = redisTemplate.opsForValue().get(REFRESH_TOKEN_PREFIX + userId);

// 检查Access Token是否有效

if (storedAccessToken != null && storedAccessToken.equals(accessToken)) {

return accessToken; // 直接返回原始的Access Token

}

// Access Token无效,检查Refresh Token

if (storedRefreshToken != null && storedRefreshToken.equals(refreshToken)) {

// 使用双层检查和分布式锁控制高并发刷新

String lockKey = "refresh_lock:" + userId;

boolean lockAcquired = redisTemplate.opsForValue().setIfAbsent(lockKey, "1", 5, TimeUnit.SECONDS);

if (lockAcquired) {

try {

// 再次双层检查(避免重复刷新)

storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

if (storedAccessToken == null) {

// 生成新的Access Token

String newAccessToken = generateToken();

redisTemplate.opsForValue().set(ACCESS_TOKEN_PREFIX + userId, newAccessToken, 15, TimeUnit.MINUTES);

return newAccessToken;

} else {

return storedAccessToken; // 直接返回已刷新过的Token

}

} finally {

redisTemplate.delete(lockKey); // 释放锁

}

} else {

// 未获取到锁,等待其他线程刷新完成,再次获取已刷新的Access Token

return redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

}

}

// 若Refresh Token也无效,返回null或抛出异常,需重新登录

throw new TokenInvalidException("Access and Refresh Token both expired.");

}

方案三:过渡时间(没看懂)

相关推荐
手握风云-5 分钟前
Spring AI:让大模型住进 Spring 生态(三)
java·后端·spring
咸鱼2.01 小时前
【java入门到放弃】Dubbo
java·开发语言·dubbo
JAVA面经实录9177 小时前
Java企业级工程化·终极完整版背诵手册(无遗漏、全覆盖、面试+落地通用)
java·开发语言·面试
zandy10118 小时前
Agentic BI 架构实战:当AI Agent接管数据建模、指标计算与可视化全链路
人工智能·架构
许彰午9 小时前
CacheSQL(二):主从复制——OpLog 环形缓冲区与故障自动恢复
java·数据库·缓存
Bat U10 小时前
JavaEE|多线程初阶(七)
java·开发语言
薪火铺子10 小时前
微服务认证方案对比与选型
微服务·云原生·架构
运维全栈笔记11 小时前
K8S部署Redis高可用全攻略:1主2从3哨兵架构实战
redis·docker·云原生·容器·架构·kubernetes·bootstrap
掌心向暖RPA自动化13 小时前
如何获取网页某个元素在屏幕可见部分的中心坐标影刀RPA懒加载坐标定位技巧
java·javascript·自动化·rpa·影刀rpa
日取其半万世不竭13 小时前
Minecraft Java版社区服务器搭建教程(Linux,适合新手)
java·linux·服务器
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03裂开!ChatGPT 居然开始要手机号验证,附详细解决方法04Codex 接入 DeepSeek API 完整配置文档05【AI】2026 年具身智能模型和世界模型总结06零基础教你claude code 接入 deepseek V407在Windows 11上安装Docker的踩坑记录08实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲092026年AI前瞻:量子AI、具身智能与科学发现的新纪元10CC-Switch & Claude 基于 Linux 服务器安装使用指南