token无感刷新+处理并发的后端方案

编程就是n踢r2024-11-03 21:41

问题描述:

当用户通过登陆后进入一个web网站,会把token保存到localStorage。假设token过期时间30min。

那么当用户在网站快乐地玩耍了30min后,这时进行了一次提交表单,它会被重定向到登陆页面。

作为用户:我表单填了这么久,点击提交时让我重新登陆?我的体验很不好。

jwt的好处和局限

jwt的好处是:服务器无需存储这些登陆的状态

而它的局限是:服务器无法主动地通知用户"你的token过期了,我重新给你一个"。

如何解决

方案一:双token

在登陆时我们会生成俩个token

  • token:表示正常情况下登陆凭证
  • refresh-token:表示需要刷新情况下登陆凭证

假设前者(token)设置过期时间为30min,后者为1天。

流程

  1. time=0min,用户成功登陆,后端返回俩个token(token和refresh-token),前端把它俩保存到localStorage
  2. time=10min,用户进行了一次查询,前端将俩个token都发给后端,后端检验token,有效,返回结果,用户很开心!
  3. time=35min,用户提交了表单,前端还是将俩个token发给后端;后端检验token,过期;检验refresh-token,有效,后端认为这是要刷新token,生成新的token和refresh-token,成功返回数据和双token。前端把数据渲染,把双token保存。

token正常过期的情况:

当然,token可以正常过期,如果在检验时refresh-token也过期,那就说明正常过期

假设time=0min时用户登陆,time=2天时用户提交了表单,那么后端认为这是正常过期,用户需要重新登陆。

流程图如下:

token刷新并发问题

现在很多登陆是可以多端的,当多端并发都去尝试刷新token时,会导致token被重复刷新

方案二:刷新时用分布式锁

可以引入redis缓存中间件,使用缓存加速并处理并发刷新问题。

将双token生成后存入redis。当需要刷新token时,采用double-check+获取关于refresh-token的分布式锁来实现。

伪代码如下:

// 验证和刷新Token的方法

public String validateAndRefreshToken(String userId, String accessToken, String refreshToken) {

String storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

String storedRefreshToken = redisTemplate.opsForValue().get(REFRESH_TOKEN_PREFIX + userId);

// 检查Access Token是否有效

if (storedAccessToken != null && storedAccessToken.equals(accessToken)) {

return accessToken; // 直接返回原始的Access Token

}

// Access Token无效,检查Refresh Token

if (storedRefreshToken != null && storedRefreshToken.equals(refreshToken)) {

// 使用双层检查和分布式锁控制高并发刷新

String lockKey = "refresh_lock:" + userId;

boolean lockAcquired = redisTemplate.opsForValue().setIfAbsent(lockKey, "1", 5, TimeUnit.SECONDS);

if (lockAcquired) {

try {

// 再次双层检查(避免重复刷新)

storedAccessToken = redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

if (storedAccessToken == null) {

// 生成新的Access Token

String newAccessToken = generateToken();

redisTemplate.opsForValue().set(ACCESS_TOKEN_PREFIX + userId, newAccessToken, 15, TimeUnit.MINUTES);

return newAccessToken;

} else {

return storedAccessToken; // 直接返回已刷新过的Token

}

} finally {

redisTemplate.delete(lockKey); // 释放锁

}

} else {

// 未获取到锁,等待其他线程刷新完成,再次获取已刷新的Access Token

return redisTemplate.opsForValue().get(ACCESS_TOKEN_PREFIX + userId);

}

}

// 若Refresh Token也无效,返回null或抛出异常,需重新登录

throw new TokenInvalidException("Access and Refresh Token both expired.");

}

方案三:过渡时间(没看懂)

相关推荐
014-code8 小时前
订单超时取消与库存回滚的完整实现(延迟任务 + 状态机)
java·开发语言
yongyoudayee9 小时前
2026 AI CRM选型大比拼:四大架构路线实测对比
人工智能·架构
java1234_小锋9 小时前
Java高频面试题:Springboot的自动配置原理?
java·spring boot·面试
末央&10 小时前
【天机论坛】项目环境搭建和数据库设计
java·数据库
枫叶落雨22210 小时前
ShardingSphere 介绍
java
花花鱼10 小时前
Spring Security 与 Spring MVC
java·spring·mvc
AI服务老曹11 小时前
打破品牌壁垒:基于 GB28181 与 RTSP 的异构设备统一接入与流媒体架构解析
架构
独特的螺狮粉11 小时前
Flutter 框架跨平台鸿蒙开发 - 关系测试应用
flutter·华为·架构·开源·鸿蒙
言慢行善11 小时前
sqlserver模糊查询问题
java·数据库·sqlserver
专吃海绵宝宝菠萝屋的派大星11 小时前
使用Dify对接自己开发的mcp
java·服务器·前端
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)05基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南06AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南07UV安装并设置国内源08实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了09Netlify 的深度解析及使用指南10Oh My Codex 快速使用指南