JWT 介绍
JWT由3部分构成:Header, Payload, Signature (头部,载荷,签名)
头部:声明类型,加密算法
载荷:有效数据,是一个JSON串,是要传递数据的一组声明,这些声明被JWT标准称为claims。
载荷可以自定义,例如:这里包含7个信息
iss (issuer):表示签发人
exp (expiration time):表示token过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
签名:数据的认证信息。
通过Header中配置的加密算法,结合秘钥(secret,通常配置在服务端)。
生成密文,用于验证数据的完整性和可靠性。
JWT 示例
JWT设置了过期时间以后,一旦超过,那么接口就不能访问了,需要用户重新登录获取token。
单Token方案
- 将 token 过期时间设置为15分钟;
- 前端发起请求,后端验证 token 是否过期;如果过期,前端发起刷新token请求,后端为前端返回一个新的token;
- 前端用新的token发起请求,请求成功;
- 如果要实现每隔72小时,必须重新登录,后端需要记录每次用户的登录时间;用户每次请求时,检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败,跳转到登录页面。
后端需要记录每次登录的时间。
后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。
双Token方案
- 登录成功以后,后端返回 access_token 和 refresh_token,客户端缓存此两种token;
- 使用 access_token 请求接口资源,成功则调用成功;
如果token超时,客户端携带 refresh_token 调用token刷新接口获取新的 access_token; - 后端接受刷新token的请求后,检查 refresh_token 是否过期。
如果过期,拒绝刷新,客户端收到该状态后,跳转到登录页;
如果未过期,生成新的 access_token 返回给客户端。 - 客户端携带新的 access_token 重新调用上面的资源接口。
- 客户端退出登录或修改密码后,注销旧的token,使 access_token 和 refresh_token 失效,同时清空客户端的 access_token 和 refresh_token。
