踩坑：设置过期时间为常量

 问题代码：

package com.sundark.mylife.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.time.LocalDateTime;
import java.util.Date;
import java.util.function.Function;

/**
 * @author wujiada
 * jwt生成token
 */
public class JwtUtil {

    private static final String SECRET_KEY = "wujiada";
    private static final long EXPIRATION_TIME = System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 7;

    /**
     * <p>获取用户id</p>
     *
     * @param token 用户token存了用户id
     * @author wujiada
     * @since 2024/8/5 09:41
     */
    public static String extractUserId(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    /**
     * <p>判断token是否失效</p>
     *
     * @param token 用户token
     * @author wujiada
     * @since 2024/8/5 09:40
     */
    private static Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    /**
     * <p>生成token</p>
     *
     * @param userId 用户id
     * @author wujiada
     * @since 2024/8/5 09:39
     */
    public static String generateToken(String userId) {
        return Jwts.builder()
                .setSubject(userId)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 验证token
    public static String isValidToken(String token) {
        if (StringUtil.isEmpty(token) || isTokenExpired(token)) {
            // 判断是否过期
            return null;
        } else {
            return extractUserId(token);
        }
    }

    public static Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public static <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private static Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
    }
}

JwtUtil 类中，EXPIRATION_TIME 是一个静态常量，它在类加载到 JVM 时被初始化一次，并且之后不会再改变。这意味着无论您何时生成新的 token，所有的 token 都会有相同的过期时间，即从服务器启动或类被加载时起的固定时间（在这个例子中是7天后）。

问题原因

1. 静态常量: EXPIRATION_TIME 被定义为静态常量，它在类加载时设置，之后不再改变。
2. 固定的过期时间: 每次调用 generateToken 时，都会使用相同的 EXPIRATION_TIME 值，而不是基于当前时间计算一个新的过期时间。

解决方案

要解决这个问题，您应该让 EXPIRATION_TIME 成为动态计算的，而不是静态常量。您可以在 generateToken 方法中直接计算过期时间，而不是使用一个固定的值。这样，每次生成的 token 都将有一个新的过期时间。

修改后的 generateToken 方法

public static String generateToken(String userId) {  
    long currentTimeMillis = System.currentTimeMillis();  
    long expirationTimeMillis = currentTimeMillis + 1000 * 60 * 60 * 24 * 7; // 7天后过期  
    return Jwts.builder()  
            .setSubject(userId)  
            .setIssuedAt(new Date(currentTimeMillis))  
            .setExpiration(new Date(expirationTimeMillis))  
            .signWith(SignatureAlgorithm.HS256, SECRET_KEY)  
            .compact();  
}

在这个修改后的版本中，expirationTimeMillis 是在每次调用 generateToken 时计算的，基于当前的时间加上7天的毫秒数。这样，每次生成的 token 都会有一个不同的过期时间，基于它们被生成的时间。

其他注意事项

• 确保您的服务器时间和客户端时间同步，以避免由于时间差异导致的 token 过期问题。
• 如果您的应用是多实例部署的，确保所有实例都使用相同的 SECRET_KEY，以便能够验证由其他实例生成的 token。
• 考虑使用更安全的方式来存储和管理 SECRET_KEY，避免将其硬编码在源代码中。您可以使用环境变量、配置文件或密钥管理服务来管理密钥。

原文地址：https://blog.csdn.net/weixin_73060959/article/details/142533998

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！