token无感刷新+处理并发的后端方案

编程就是n踢r2024-11-03 21:41

问题描述:

当用户通过登陆后进入一个web网站,会把token保存到localStorage。假设token过期时间30min。

那么当用户在网站快乐地玩耍了30min后,这时进行了一次提交表单,它会被重定向到登陆页面。

作为用户:我表单填了这么久,点击提交时让我重新登陆?我的体验很不好。

jwt的好处和局限

jwt的好处是:服务器无需存储这些登陆的状态

而它的局限是:服务器无法主动地通知用户"你的token过期了,我重新给你一个"。

如何解决

方案一:双token

在登陆时我们会生成俩个token

  • token:表示正常情况下登陆凭证
  • refresh-token:表示需要刷新情况下登陆凭证

假设前者(token)设置过期时间为30min,后者为1天。

流程

  1. time=0min,用户成功登陆,后端返回俩个token(token和refresh-token),前端把它俩保存到localStorage
  2. time=10min,用户进行了一次查询,前端将俩个token都发给后端,后端检验token,有效,返回结果,用户很开心!
  3. time=35min,用户提交了表单,前端还是将俩个token发给后端;后端检验token,过期;检验refresh-token,有效,后端认为这是要刷新token,生成新的token和refresh-token,成功返回数据和双token。前端把数据渲染,把双token保存。

token正常过期的情况:

当然,token可以正常过期,如果在检验时refresh-token也过期,那就说明正常过期

假设time=0min时用户登陆,time=2天时用户提交了表单,那么后端认为这是正常过期,用户需要重新登陆。

流程图如下:

token刷新并发问题

现在很多登陆是可以多端的,当多端并发都去尝试刷新token时,会导致token被重复刷新

方案二:刷新时用分布式锁

可以引入redis缓存中间件,使用缓存加速并处理并发刷新问题。

将双token生成后存入redis。当需要刷新token时,采用double-check+获取关于refresh-token的分布式锁来实现。

伪代码如下:

// 验证和刷新Token的方法

public String validateAndRefreshToken(String userId, String accessToken, String refreshToken) {

String storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

String storedRefreshToken = redisTemplate.opsForValue().get(REFRESH_TOKEN_PREFIX + userId);

// 检查Access Token是否有效

if (storedAccessToken != null && storedAccessToken.equals(accessToken)) {

return accessToken; // 直接返回原始的Access Token

}

// Access Token无效,检查Refresh Token

if (storedRefreshToken != null && storedRefreshToken.equals(refreshToken)) {

// 使用双层检查和分布式锁控制高并发刷新

String lockKey = "refresh_lock:" + userId;

boolean lockAcquired = redisTemplate.opsForValue().setIfAbsent(lockKey, "1", 5, TimeUnit.SECONDS);

if (lockAcquired) {

try {

// 再次双层检查(避免重复刷新)

storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

if (storedAccessToken == null) {

// 生成新的Access Token

String newAccessToken = generateToken();

redisTemplate.opsForValue().set(ACCESS_TOKEN_PREFIX + userId, newAccessToken, 15, TimeUnit.MINUTES);

return newAccessToken;

} else {

return storedAccessToken; // 直接返回已刷新过的Token

}

} finally {

redisTemplate.delete(lockKey); // 释放锁

}

} else {

// 未获取到锁,等待其他线程刷新完成,再次获取已刷新的Access Token

return redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

}

}

// 若Refresh Token也无效,返回null或抛出异常,需重新登录

throw new TokenInvalidException("Access and Refresh Token both expired.");

}

方案三:过渡时间(没看懂)

相关推荐
Boop_wu6 分钟前
[Java EE] 多线程进阶(JUC)(2)
java·jvm·算法
小坏讲微服务7 分钟前
SpringCloud整合Scala实现MybatisPlus实现业务增删改查
java·spring·spring cloud·scala·mybatis plus
N***p3659 分钟前
五大消息模型介绍(RabbitMQ 详细注释版)
java·rabbitmq·java-rabbitmq
L***865315 分钟前
【架构解析】深入浅析DeepSeek-V3的技术架构
架构
Peter_Monster31 分钟前
大语言模型(LLM)架构核心解析(干货篇)
人工智能·语言模型·架构
雨中飘荡的记忆38 分钟前
深入理解设计模式之单例模式
java·设计模式
程序员西西1 小时前
Spring Boot整合MyBatis调用存储过程?
java·后端
2501_941879811 小时前
Python在微服务高并发异步API网关请求处理与智能路由架构中的实践
java·开发语言
AAA简单玩转程序设计1 小时前
Java进阶小白手册:基础玩法升级,告别青铜套路
java
whltaoin1 小时前
【 手撕Java源码专栏 】Spirng篇之手撕SpringBean:(包含Bean扫描、注册、实例化、获取)
java·后端·spring·bean生命周期·手撕源码
热门推荐
01GitHub 镜像站点02【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Linux下V2Ray安装配置指南07Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)1046个Nano-banana 精选提示词,持续更新中