Spring Boot與JWT刷新令牌機制

在Spring Boot應用中，JWT（JSON Web Token）是一種常用的認證機制，它允許服務器和客戶端之間安全地傳輸信息。JWT刷新令牌機制是一種用于延長用戶認證會話的方法，它通過使用刷新令牌來獲取新的訪問令牌，從而避免了頻繁的重新認證過程。

JWT刷新令牌機制簡介

• 訪問令牌：用于訪問受保護資源，具有較短的有效期。
• 刷新令牌：用于在訪問令牌過期后獲取新的訪問令牌，通常具有較長的有效期。
• 當訪問令牌即將過期時，客戶端會使用刷新令牌向服務器請求新的訪問令牌，從而維持用戶的認證狀態。

Spring Boot中實現JWT刷新令牌機制的步驟

1. 生成刷新令牌：在用戶登錄時，除了生成訪問令牌外，還生成一個刷新令牌，并將其與訪問令牌一起返回給客戶端。
2. 驗證訪問令牌：服務器在接收到請求時，會驗證訪問令牌是否有效。如果訪問令牌有效，則繼續處理請求。
3. 刷新訪問令牌：如果訪問令牌即將過期，服務器會驗證刷新令牌的有效性。如果刷新令牌有效，服務器會生成一個新的訪問令牌，并將其返回給客戶端。

Spring Boot實現JWT刷新令牌機制的示例代碼

以下是一個簡單的示例，展示了如何在Spring Boot中實現JWT刷新令牌機制：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.function.Function;

public class JwtUtil {
    private static final String SECRET_KEY = "your_secret_key";

    // 生成token
    public String generateToken(String subject) {
        return Jwts.builder()
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 設置過期時間，例如10小時
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }

    // 驗證token
    public Claims validateToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return claims;
    }

    // 刷新token
    public String refreshToken(String refreshToken) {
        Claims claims = validateToken(refreshToken);
        if (claims != null) {
            return generateToken(claims.getSubject());
        }
        return null;
    }
}

通過上述步驟和示例代碼，你可以在Spring Boot應用中實現JWT刷新令牌機制，從而提供無縫的用戶認證體驗。