SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken)
version1太复杂,无法优化。
accessToken refreshToken流
安全登录处理流程
详细说明转到博客文章
JWT异常处理
安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler)
仅使用AccessToken时
如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。
相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。
您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。
同时使用
1