Zhanggg_ 2022-12-23 12:45 采纳率: 100%
浏览 55
已结题

springsecurity中token使用问题

目前项目用的springsecurity,前后端分离,以下观点是我目前能想到的问题,还请友友们给出建议。

一.不使用jwt生成token,自定义随机数生成token,然后将token存在session和redis中,每次请求判断session和redis中的token一致性

  • 优点:
  1. 简单
  2. 可以保持会话,半小时未操作,需重新登录
  • 缺点:

1.axios每次请求都会生成不同的sessionid,如果要从session中获取token,又需携带cookie,容易造成csrf攻击
2.用户多了之后,服务器有压力

二.使用jwt生成token和refreshtoken,token过期后自动刷新

  • 缺点:

1.如果refreshtoken时间设置过长,可能会导致用户永远不用重新登录的情况
2.若半小时未操作,也不会重新登录
3.账号被挤下线,也不会及时给消息。难道要用websocket吗

如果使用token和refreshtoken,那么各自设置多长时间比较合适

  • 写回答

2条回答 默认 最新

  • Abzz 2022-12-29 16:35
    关注

    jwt不仅仅是解决token的问题,解决了传统的(也就是你自己想的方案)session在分布式环境下的共享问题,还有用户基本信息也可以直接从token获取。
    关于你说的问题永远不用登录的问题,你可以用redis去保存token,过期或者被挤下线你可以根据自己的逻辑去操作redis中的token,但是token filter逻辑也需要改一下。
    账号被挤下线就算你用自己的方案,也还是不回有及时的通知啊?这个需要你借助其他方案去完成的啊

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

问题事件

  • 系统已结题 4月5日
  • 已采纳回答 3月28日
  • 创建了问题 12月23日

悬赏问题

  • ¥15 券商软件上市公司信息获取问题
  • ¥100 ensp启动设备蓝屏,代码clock_watchdog_timeout
  • ¥15 Android studio AVD启动不了
  • ¥15 陆空双模式无人机怎么做
  • ¥15 想咨询点问题,与算法转换,负荷预测,数字孪生有关
  • ¥15 C#中的编译平台的区别影响
  • ¥15 软件供应链安全是跟可靠性有关还是跟安全性有关?
  • ¥15 电脑蓝屏logfilessrtsrttrail问题
  • ¥20 关于wordpress建站遇到的问题!(语言-php)(相关搜索:云服务器)
  • ¥15 【求职】怎么找到一个周围人素质都很高不会欺负他人,并且未来月薪能够达到一万以上(技术岗)的工作?希望可以收到写有具体,可靠,已经实践过了的路径的回答?