JWTtoken封装以及自动刷新方案建议

　　什么是JWT JWT 是一个开放标准，它定义了一种用于简洁，包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说: 就是通过一定规范来生成token，然后可以通过解密算法逆向解密token，这样就可以获取用户信息
　　pom.xml                                      io.jsonwebtoken                 jjwt                 0.7.0             
　　JWTUtil.javapackage com.xmj.utils;  import com.xmj.model.LoginUser; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import lombok.extern.slf4j.Slf4j;  import java.util.Date; import java.util.HashMap; import java.util.Map;  @Slf4j public class JWTUtil {      /**      * token过期时间，正常是7天，方便测试我们设置70天      */     private static final long EXPIRE = 1000 * 60 * 60 * 7 * 10;      /**      * 加密的秘钥      */     private static final String SECRET = ＂xmj-cloud-0417＂;      /**      * 令牌前缀      */     private static final String TOKEN_PREFIX = ＂xmj-cloud＂;       /**      * SUBJECT      */     private static final String SUBJECT = ＂xmj＂;      /**      * 根据用户信息生成token      *      * @param loginUser      * @return      */     public static Map geneJsonWebToken(LoginUser loginUser) {         if (loginUser == null) {             throw new NullPointerException(＂loginUser对象为空＂);         }         long deadLine = System.currentTimeMillis() + EXPIRE;         // 生成token         String token = Jwts.builder().setSubject(SUBJECT)                 .claim(＂headImg＂, loginUser.getHeadImg())//头像                 .claim(＂id＂, loginUser.getId())//用户id                 .claim(＂email＂, loginUser.getMail())//用户邮箱                 .claim(＂name＂, loginUser.getName())//用户名称                 .setIssuedAt(new Date())//生成日期                 .setExpiration(new Date(deadLine))// 过期时间为当前时间时间戳 + 过期时间                 .signWith(SignatureAlgorithm.HS256, SECRET).compact();//签名算法和秘钥         // 返回可以选择加前缀         String realToken = TOKEN_PREFIX + token;         Map map = new HashMap();         map.put(＂accessToken＂,realToken);         // 过期时间，refreshToken使用         map.put(＂deadLine＂,deadLine);         return map;     }      /**      * 校验token的 方法      *      * @param token      * @return      */     public static Claims checkJWT(String token) {         try {             final Claims claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token.replace(TOKEN_PREFIX, ＂＂)).getBody();             return claims;         } catch (Exception e) {             log.info(＂解密失败＂);             return null;         }     } }
　　用户登录操作/**  * 用户登录  * 1、根据mail去找记录  * 2、有的话，则使用秘钥和用户传递的明文密码，进行加密，在和数据库中的进行匹配  *  * @param loginRequest  * @return  */ @Override public JsonData login(UserLoginRequest loginRequest) {     List userDOList = userMapper.selectList(new QueryWrapper().eq(＂mail＂, loginRequest.getMail()));     if (userDOList != null && userDOList.size() == 1) {         //已经注册         UserDO userDO = userDOList.get(0);         String cryptPwd = Md5Crypt.md5Crypt(loginRequest.getPwd().getBytes(), userDO.getSecret());         if (cryptPwd.equals(userDO.getPwd())) {             //登陆成功，生成accessToken、accessToken过期时间以及refreshToken             LoginUser userDTO = new LoginUser();             BeanUtils.copyProperties(userDO, userDTO);             Map map = JWTUtil.geneJsonWebToken(userDTO);             // 生成refreshToken，页面静默获取token时候使用             String refreshToken = CommonUtil.generateUUID();             map.put(＂refreshToken＂, refreshToken);             redisTemplate.opsForValue().set(＂refreshToken＂, ＂随意的value值＂, 1000 * 60 * 60 * 24 * 30);             return JsonData.buildSuccess(map);         } else {             return JsonData.buildResult(BizCodeEnum.ACCOUNT_PWD_ERROR);         }     } else {         //未注册         return JsonData.buildResult(BizCodeEnum.ACCOUNT_PWD_ERROR);     } }
　　在前后分离场景下，越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后，用户无法直接感知，假如在用户操作页面期间，突然提示登录，则体验很不友好，所以就有了token自动刷新需求；
　　方案：前端控制检测token，无感知刷新
　　用户登录成功的时候，一次性给他两个Token，分别为AccessToken和RefreshToken
　　AccessToken有效期较短,比如1天或者5天，用于正常请求
　　RefreshToken有效期可以设置长一些，例如10天、20天，作为刷新AccessToken的凭证
　　刷新方案：当AccessToken即将过期的时候，例如提前30分钟，客户端利用RefreshToken请求指定的API获取新的AccessToken并更新本地存储中的AccessToken
　　核心逻辑
　　1、登录成功后，jwt生成AccessToken； UUID生成RefreshToken并存储在服务端redis中,设置过期时间
　　2、接口返回3个字段AccessToken/RefreshToken/访问令牌过期时间戳
　　3、由于RefreshToken存储在服务端redis中，假如这个RefreshToken也过期，则提示重新登录；
　　老王的疑问：RefreshToken有效期那么长，和直接将AccessToken的有效期延长有什么区别
　　答：RefreshToken不像AccessToken那样在大多数请求中都被使用，主要是本地检测accessToken快过期的时候才使用，
　　一般本地存储的时候，也不叫refreshToken,前端可以取个别名，混淆代码让攻击者不能直接识别这个就是刷新令牌
　　缺点：前端每次请求需要判断token距离过期时间
　　优点：后端压力小，代码逻辑改动不大
　　刷新token方法未实现。/**  * 刷新token  *  * @param param  * @return  */ //@ApiOperation(＂刷新accessToken＂) //@PostMapping(value = ＂/login＂) //public JsonData login(@ApiParam(＂用户登录对象＂) @RequestBody UserLoginRequest loginRequest) { //找redis中refresh_token是否存在 //refresh_token存在，解密accessToken //重新调用JWTUtil.geneJsonWebToken()生成accessToken //重新生成refreshToken,并存储redis，设置过期时间 //返回给前端 // return jsonData; //}