Spring Boot JWT Token 无感刷新(理论)

最新推荐文章于 2026-06-22 23:51:37 发布
原创 最新推荐文章于 2026-06-22 23:51:37 发布 · 144 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring boot #状态模式 #后端

一、核心概念先理清 

在做前后端分离的登录鉴权时,我们通常会用到两种 Token:

表格

Token 类型作用有效期安全性典型场景
Access Token用于接口鉴权,携带在请求头中,验证用户身份短(如 15 分钟~2 小时)高,泄露后影响范围小每次请求接口时携带
Refresh Token用于在 Access Token 过期时,换取新的 Access Token长(如 7 天~30 天)较低,泄露后可长期续登仅在刷新 Token 时使用

为什么要分两种 Token?

  • 如果只用一个 Token,且有效期很长:一旦泄露,攻击者可以长期冒用身份,风险极高。
  • 如果只用一个 Token,且有效期很短:用户需要频繁登录,体验极差。
  • 双 Token 方案:短有效期 Access Token 保证安全,长有效期 Refresh Token 保证体验,兼顾安全与便捷。

二、完整生命周期流程 

我们把用户从登录到最终重新登录的完整流程拆解为 4 个阶段:

阶段 1:首次登录,获取双 Token

  1. 用户输入账号密码,前端调用 /user/login 接口。
  2. 后端验证账号密码合法后,生成:
    • accessToken:短有效期,用于接口鉴权。
    • refreshToken:长有效期,用于刷新 Access Token。
  3. 后端将双 Token 及过期时间返回给前端(通常放在响应体 data 中)。
  4. 前端将双 Token 存储到本地(如 localStoragesessionStorage 或安全的 Cookie)。
// 登录接口返回示例
{
  "code": 200,
  "msg": "登录成功",
  "data": {
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "refreshToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "accessExpire": "1720000000000",
    "refreshExpire": "1720604800000",
    "userId": 1,
    "username": "admin"
  }
}

阶段 2:正常使用,Access Token 未过期

  1. 前端每次请求接口时,在请求头 Authorization 中携带 accessToken

    http

    Authorization: Brear eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
  2. 后端过滤器 / 拦截器验证 accessToken 有效,放行请求,接口正常返回数据。
  3. 用户无感知,流畅使用软件。

阶段 3:Access Token 过期,自动刷新

accessToken 过期时,有两种常见的刷新方案:

方案 A:后端过滤器自动刷新(对前端透明)
  1. 前端携带过期的 accessToken 请求接口。
  2. 后端过滤器捕获 ExpiredJwtException,检测到 accessToken 过期。
  3. 过滤器从请求头读取 refreshToken,验证其有效性:
    • refreshToken 有效:生成新的 accessTokenrefreshToken,写入响应头: 
      Access-Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Refresh-Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Access-Control-Expose-Headers: Access-Token,Refresh-Token
    • refreshToken 无效 / 过期:返回 401,提示用户重新登录。
  4. 前端在响应拦截器中读取响应头的新 Token,覆盖本地存储。
  5. 前端用新 accessToken 重新发起刚才失败的请求,用户完全无感知。
方案 B:前端拦截器主动刷新(更可控)
  1. 前端请求接口,收到 401 响应,判断为 accessToken 过期。
  2. 前端调用 /user/refresh/token 接口,携带本地存储的 refreshToken

    http

    POST /user/refresh/token
Content-Type: application/x-www-form-urlencoded
refreshToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
  3. 后端验证 refreshToken 有效后,返回新的双 Token。
  4. 前端更新本地存储的 Token,并重试刚才的请求。
  5. 若刷新接口也返回 401(refreshToken 过期),清除本地 Token 并跳转到登录页。

阶段 4:Refresh Token 过期,必须重新登录

  1. refreshToken 也过期时,无论哪种刷新方案,后端都会返回 401:

    json

    {
  "code": 401,
  "msg": "登录已过期,请重新登录",
  "data": null
}
  2. 前端捕获 401 响应,清除本地存储的所有 Token。
  3. 前端跳转到登录页面,提示用户重新输入账号密码登录。
  4. 回到阶段 1,重新获取双 Token。

三、关键知识点总结

1. Token 过期逻辑

  • Access Token 过期:可以用 refreshToken 刷新,用户无感知。
  • Refresh Token 过期:无法刷新,必须重新登录。
  • 每次刷新时,建议生成新的 refreshToken,实现「活跃用户无限续期」:只要用户在 refreshToken 有效期内使用软件,就能一直续登,直到长期不使用导致 refreshToken 过期。

2. 安全注意事项

  • 传输安全:必须使用 HTTPS,防止 Token 在传输过程中被窃听。
  • 存储安全:前端避免将 Token 存在 localStorage(易受 XSS 攻击),推荐存在 HttpOnly Cookie 或使用 secure + sameSite 配置。
  • 泄露处理:若 refreshToken 泄露,攻击者可长期续登,建议后端实现 refreshToken 黑名单机制,登出 / 改密时将旧 refreshToken 加入黑名单。
  • 最小权限refreshToken 仅用于刷新 Token,不能用于接口鉴权。

3. 前端实现要点

  • 请求拦截器:统一在请求头添加 Authorization: {tokenPrefix} {accessToken}
  • 响应拦截器
    1. 捕获 401 响应,判断是否为 Token 过期。
    2. 若为 accessToken 过期,调用刷新接口。
    3. 刷新成功后,更新本地 Token 并重试原请求。
    4. 刷新失败(refreshToken 过期),跳转到登录页。
  • Header 读取:若使用后端过滤器自动刷新,需从响应头读取 Access-TokenRefresh-Token,注意配置 Access-Control-Expose-Headers 让前端可读取。

4. 后端实现要点

  • Token 生成accessToken 包含用户身份信息(如 userIdusername),refreshToken 仅包含用户名即可。
  • Token 验证
    • 验证 accessToken 时,若过期则尝试用 refreshToken 刷新。
    • 验证 refreshToken 时,若过期则直接拒绝,要求重新登录。
  • 接口设计
    • /user/login:生成双 Token。
    • /user/refresh-token:用 refreshToken 换取新双 Token。
    • /user/token/check:仅解析验证 Token,不生成新 Token。
  • 过滤器 / 拦截器:统一处理 Token 验证和刷新逻辑,避免在每个接口中重复实现。

四、前端响应拦截器代码

以下是基于 Axios 的前端响应拦截器实现,处理 Token 自动刷新

import axios from 'axios';

const request = axios.create({
  baseURL: '/api',
  timeout: 5000
});

// 请求拦截器:添加 Authorization
request.interceptors.request.use(config => {
  const accessToken = localStorage.getItem('accessToken');
  if (accessToken) {
    config.headers.Authorization = `Brear ${accessToken}`;
  }
  return config;
});

// 响应拦截器:处理 Token 过期和刷新
request.interceptors.response.use(
  response => {
    // 从响应头读取新 Token(后端过滤器自动刷新场景)
    const newAccessToken = response.headers['access-token'];
    const newRefreshToken = response.headers['refresh-token'];
    if (newAccessToken && newRefreshToken) {
      localStorage.setItem('accessToken', newAccessToken);
      localStorage.setItem('refreshToken', newRefreshToken);
    }
    return response.data;
  },
  async error => {
    const { response } = error;
    if (response && response.status === 401) {
      const msg = response.data?.msg;
      // 情况 1:refreshToken 也过期,必须重新登录
      if (msg.includes('登录已过期')) {
        localStorage.removeItem('accessToken');
        localStorage.removeItem('refreshToken');
        window.location.href = '/login';
        return Promise.reject(error);
      }

      // 情况 2:accessToken 过期,尝试刷新
      const refreshToken = localStorage.getItem('refreshToken');
      if (!refreshToken) {
        window.location.href = '/login';
        return Promise.reject(error);
      }

      try {
        // 调用刷新接口
        const res = await axios.post('/user/refresh-token', { refreshToken });
        const { token, refreshToken: newRefreshToken } = res.data.data;
        // 更新本地 Token
        localStorage.setItem('accessToken', token);
        localStorage.setItem('refreshToken', newRefreshToken);
        // 重试原请求
        error.config.headers.Authorization = `Brear ${token}`;
        return request(error.config);
      } catch (refreshErr) {
        // 刷新失败(refreshToken 过期),跳登录
        localStorage.removeItem('accessToken');
        localStorage.removeItem('refreshToken');
        window.location.href = '/login';
        return Promise.reject(refreshErr);
      }
    }
    return Promise.reject(error);
  }
);

export default request;

五、总结 ✨

双 Token 无感刷新是现代 Web 应用的标准鉴权方案,核心逻辑是:

  1. 短有效期 Access Token 保证接口鉴权安全。
  2. 长有效期 Refresh Token 保证用户体验,避免频繁登录。
  3. Access Token 过期时,用 Refresh Token 自动刷新,用户无感知。
  4. Refresh Token 过期时,强制重新登录,保证账号安全。

只要实现了这套流程,用户就能在「一直使用软件」的情况下,永远不需要手动重新登录,直到长期不使用导致 Refresh Token 自然过期,完美平衡了安全性用户体验

花花鱼
关注
Spring Security + JWT token 做权限认证
xqt8888的专栏
08-29 1万+
前言 我的项目是用SpringBoot 搭建的一个App-Server,用来响应移动端的访问请求,设计的方式是前后端分离的 。本来对权限的做法是在请求里面加上token 字段,然后服务器端再对token做解析,得到userid,再根据userid 查找数据库,来判断当前用户是否有权限访问这个接口。token 是用的JWT;这样做除了每个接口都要写解析token 和 权限的判断代码外,感觉也没有其...
Spring Boot实战之Filter实现使用JWT进行接口认证
热门推荐
sun_t89的专栏
07-16 7万+
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章中的代码
Java实战:Spring Boot实现无感刷新Token机制
oandy0的博客
03-03 5903
本文将深入探讨如何在Spring Boot项目中实现无感刷新Token机制,并通过具体的示例代码,逐步引导读者掌握这一核心技术。
SpringBoot】最佳实践——JWT结合Redis实现双Token无感刷新
k123456kah的博客
03-15 2786
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。JWT最常见的使用场景就是缓存当前用户登录信息,当用户登录成功之后,拿到JWT,之后用户的每一个请求在请求头携带上字段来辨别区分请求的用户信息。且不需要额外的资源开销。
Java实现Token登录验证(基于JWTtoken认证实现)
shuux666的博客
03-12 3万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
Spring Boot 3.x迁移指南:从2.x升级的完整流程和坑点总结
yp0to1的博客
06-17 556
Spring Boot 3.x迁移工作量不小,但这是必须做的。新项目:直接用Spring Boot 3.2 + Java 21(一步到位)老项目:制定迁移计划,逐步迁移(先迁移不重要的服务)测试优先:迁移完后一定要做充分的测试(单元测试 + 集成测试 + 压测)工具辅助:用Spring Boot Migrator和OpenRewrite自动化迁移,减少手动改代码的工作量迁移虽然麻烦,但迁移后能用上虚拟线程、Native Image这些新特性,还是很值得的。参考资料。
Spring Boot + Vue 在线法律咨询辅助系统:从需求分析、数据库设计到核心功能实现
2301_79630794的博客
06-22 171
基于 Spring Boot、Vue、MyBatis 与 MySQL 设计在线法律咨询辅助系统,梳理用户端与管理端功能、核心数据表、登录鉴权流程、咨询业务闭环及测试优化思路。
OpenTelemetry Java Agent 实战:零侵入接入 Spring Boot 调用链追踪并上报 OTLP Collector
xinzhiyishi的博客
06-16 311
很多 Spring Boot 项目已经接入了日志、接口耗时和基础 JVM 指标,但一到跨服务调用、下游接口变慢、偶发超时,就很难快速回答:这次请求经过了哪些服务?哪个环节最慢?TraceId 怎么串起来?本文用 OpenTelemetry Java Agent 演示一种“零侵入”接入方式:不改业务代码,通过-javaagent挂载 Agent,将 Spring Boot 应用的调用链数据通过 OTLP 上报到 OpenTelemetry Collector。
拥抱 Java 21 与 Spring Boot 4:Apache Grails 8 核心新特性与平稳升级指南
weixin_49715102的博客
06-15 442
确认 build.gradle 中的每个 Grails 插件均已升级至兼容 Grails 8 的版本。对于使用 grails-micronaut 的项目,务必确保 BOM(物料清单) 已通过 enforcedPlatform 引入(若未正确配置,Grails Gradle 插件将在构建配置阶段直接导致构建失败)。
Spring Boot + Vue + DeepSeek】从零打造一个AI驱动的智能健康分析系统
qq_55236656的博客
06-15 274
体检报告数据专业性强,普通人难以解读健康数据分散,缺乏统一的智能分析手段医患沟通效率低,专家资源分配不均IoT健康设备数据无法与管理系统打通AuraHealth正是为了解决这些问题而设计——将 DeepSeek 大模型深度融入健康管理全流程,实现从数据采集 → AI分析 → 智能预警 → 医患协作 → 健康改进的完整闭环。
Spring Boot + XXL-Job 实现考勤自动补账:缺卡生成、历史回算和幂等设计
tiandingtong的博客
06-22 165
基于智慧考勤真实项目代码,梳理 Spring Boot + XXL-Job 实现考勤自动补账、缺卡生成、历史回算和日统计同步的工程设计。
Spring Boot 4.1新增gRPC自动配置SSRF防护功能并支持 Kotlin 2.3
xhtdj的博客
06-20 431
2025 年 11 月发布的 Spring Boot 4.0 与 Spring Framework 7.0 一同推出,属于一次大版本迭代重构:以 Jakarta EE 11 为基线,集成 Jackson 3,拆分式自动配置 JAR,借助 JSpecify 实现空值安全,同时新增 API 版本控制与 Gradle 9 支持。Spring Boot 4.1 包含面向服务器端和客户端应用的 Spring gRPC 自动配置,支持独立的 Netty 和 Servlet HTTP/2 传输。
Spring Boot 国际化(i18n)完全指南
BADAO_LIUMANG_QIZHI的博客
06-16 264
本文介绍了Spring Boot中实现国际化(i18n)的完整指南。主要内容包括:i18n的核心概念,即将用户可见文本从代码抽离到资源文件;核心组件MessageSource、LocaleResolver和资源文件的职责;资源文件的命名规范和查找优先级;两种配置方式(YAML和Java Config);以及一个完整的用户注册模块示例,展示中文和英文资源文件的定义、配置类实现和工具类封装。文章强调了UTF-8编码的重要性,并提供了缓存策略等实用技巧,帮助开发者在Spring Boot应用中高效实现多语言支持。
48_Spring Boot RESTful API开发
yuhou25的博客
06-20 271
在现代Web开发中,已成为前后端分离架构的标准通信方式。Spring Boot提供了强大的注解和工具支持,让开发者可以轻松构建规范的RESTful接口。为什么RESTful很重要?在前后端分离的架构中,后端只负责提供API接口、返回JSON数据,前端(Vue/React/小程序)通过HTTP请求获取数据并渲染页面。如果没有统一的API设计规范,每个人的接口风格都不一样——有人用GET创建资源、有人用POST查询数据——前后端联调时会耗费大量时间在沟通上。
Spring Boot核心组件解析:MappingJackson2HttpMessageConverter全解
窗台有只猫的博客
06-17 394
本文深入解析了Spring Boot中处理JSON数据交互的核心组件——MappingJackson2HttpMessageConverter。文章从核心定位、工作流程与实战应用三个维度展开,首先阐述了其作为Jackson库与Spring MVC桥梁的默认地位及底层依赖;其次剖析了其在HTTP请求中实现Java对象与JSON双向自动转换的序列化机制;最后提供了基于Jackson2ObjectMapperBuilderCustomizer的全局定制方案与手动配置方法,旨在帮助开发者彻底掌握该组件的原理,实现高
领域驱动设计(DDD)在 Spring Boot 微服务中的实践指南
BADAO_LIUMANG_QIZHI的博客
06-16 389
摘要:领域驱动设计(DDD)Spring Boot微服务中的实践 本文介绍了领域驱动设计(DDD)Spring Boot微服务中的应用方法。DDD是一种以业务领域为中心的设计方法论,通过将代码按业务领域组织而非技术分层,使代码结构反映业务结构。文章详细解析了DDD的核心概念,包括战略设计(领域、子域、限界上下文等)和战术设计(实体、值对象、聚合等),并对比了传统分层与DDD分层的代码组织方式差异。同时提供了Spring Boot中实现DDD的四层架构方案及其简化实践版,帮助开发者在微服务架构中更好地应用
我用 Spring Boot 撸了一个 Claude Code 平替,本地 AI 编程 Agent,现已开源
技术分析
06-22 215
撸了一个 Claude Code 平替,本地 AI 编程 Agent,现已开源
Spring Boot 基础:自动装配原理与 @EnableXXX 详解
weixin_44551234的博客
06-17 423
理解了以上模式后,开发者也可以编写自己的@Enable注解。@Bean使用时只需要在主类上加上即可。本文系统地拆解了 Spring Boot 自动装配原理与@EnableXXX中的通过@Import导入。利用加载中预定义的自动配置类,并通过条件注解筛选。被筛选出的配置类会像普通一样被解析,其中的@Bean方法会为容器提供默认基础设施。@EnableXXX注解普遍基于@Import,可导入配置类、或,实现特定功能的模块化开关。
基于spring boot的游戏分享平台的设计与实现
最新发布
WEN38306482的博客
06-22 201
游戏分享平台是以Java语言为基石,前端使用Vue.js进行开发,后端则基于Spring Boot进行RESTful API的设计。数据库方面,采用MySQL进行数据存储。系统主要功能包括注册、登录、搜索游戏分享、浏览游戏分享、收藏游戏分享、评论、发布游戏分享、发布论坛功能、浏览游戏资讯、用户管理、游戏分享管理、论坛管理、游戏类型管理等。平台能够有效地促进用户之间的互动与分享。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值