Spring Cloud项目登录认证从JWT切换到Redis + UUID Token方案
背景介绍
在传统的Spring Boot项目中,用户登录认证常见的方案是使用JWT(JSON Web Token)来实现无状态的身份验证。JWT凭借自包含用户信息、方便前后端分离、性能较好等优势被广泛采用。
然而,在实际项目中,JWT也有一定缺点,比如:
-
不能主动失效(除非设计复杂的黑名单机制)
-
token刷新逻辑复杂
-
服务器无法灵活控制单点登出
为了提升认证的灵活性和安全性,我将项目的登录鉴权方案由JWT切换成了 Redis + UUID Token 的模式,实现了服务端存储与校验,且支持token的自动续期。
为什么切换?
-
支持主动注销:退出登录时,服务器可以直接删除Redis中对应的Token。
-
便于统一管理Token生命周期:可以灵活设置过期时间和续期策略。
-
方便单点登出和多端管理。
-
实现滑动过期(自动续期),提升用户体验。
方案架构
流程图
用户登录 -> 服务器生成UUID Token -> 保存Token对应的用户ID到Redis并设置过期 -> 返回Token给客户端 -> 客户端请求时携带Token -> 网关/服务端从Redis验证Token有效性 -> 每次请求时刷新Token过期时间(滑动过期) -> 用户退出登录时删除Redis中的Token
关键代码实现
1. 登录接口
@PostMapping("/login")
public Result<UserVO> login(@RequestBody LoginRequest loginRequest) {// 认证逻辑验证用户名密码(略)User user = userService.findByUsername(loginRequest.getUsername());if (user == null || !passwordEncoder.matches(loginRequest.getPassword(), user.getPassword())) {return Result.fail("用户名或密码错误");}// 生成 UUID TokenString token = UUID.randomUUID().toString();// 构建 Redis 键String redisKey = RedisKeyConstant.LOGIN_TOKEN_PREFIX + token;// 保存用户 ID 到 Redis,设置过期时间(30分钟)stringRedisTemplate.opsForValue().set(redisKey, String.valueOf(user.getId()), 30, TimeUnit.MINUTES);// 返回给前端UserVO userVO = new UserVO();userVO.setToken(token);// 其他用户信息设置略return Result.ok(userVO);
}
2. 网关全局过滤器(校验Token + 自动续期)
@Component
@RequiredArgsConstructor
public class AuthGlobalFilter implements GlobalFilter, Ordered {private final StringRedisTemplate redisTemplate;private final AntPathMatcher antPathMatcher = new AntPathMatcher();private final long TOKEN_EXPIRE_MINUTES = 30;@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {String path = exchange.getRequest().getPath().toString();// 跳过无需认证路径if (isExclude(path)) {return chain.filter(exchange);}List<String> tokenList = exchange.getRequest().getHeaders().get("Authorization");if (tokenList == null || tokenList.isEmpty()) {return unauthorized(exchange);}String token = tokenList.get(0);// Redis校验Token是否有效String redisKey = RedisKeyConstant.LOGIN_TOKEN_PREFIX + token;String userId = redisTemplate.opsForValue().get(redisKey);if (userId == null) {return unauthorized(exchange);}// 续期(滑动过期)redisTemplate.expire(redisKey, TOKEN_EXPIRE_MINUTES, TimeUnit.MINUTES);// 把用户ID放入请求头,供后端服务使用ServerHttpRequest newRequest = exchange.getRequest().mutate().header("user-info", userId).build();return chain.filter(exchange.mutate().request(newRequest).build());}private boolean isExclude(String path) {// 这里可以配置白名单路径return path.startsWith("/public") || path.equals("/user/login");}private Mono<Void> unauthorized(ServerWebExchange exchange) {exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);return exchange.getResponse().setComplete();}@Overridepublic int getOrder() {return 0;}
}
3. 退出登录接口
@PostMapping("/logout")
public Result<Void> logout(@RequestHeader("Authorization") String token) {if (token == null || token.isEmpty()) {return Result.fail("未登录");}String redisKey = RedisKeyConstant.LOGIN_TOKEN_PREFIX + token;Boolean deleted = stringRedisTemplate.delete(redisKey);if (Boolean.TRUE.equals(deleted)) {return Result.ok();} else {return Result.fail("退出失败或已过期");}
}
4. 前端请求示例(基于axios)
import axios from 'axios';const myAxios = axios.create({baseURL: 'http://localhost:9090',withCredentials: true,
});myAxios.interceptors.request.use(config => {const token = localStorage.getItem('token');if (token) {config.headers['Authorization'] = token;}return config;
});myAxios.interceptors.response.use(response => {if (response.data.code === 40101) {alert('未登录,请重新登录');window.location.href = '/user/login';}return response.data;
});export default myAxios;
总结
-
通过Redis + UUID Token方案,避免了JWT token的复杂管理。
-
支持服务器主动失效token,支持滑动过期,提升了安全性和用户体验。
-
网关统一校验token,简化后端服务实现。
-
适合对token管理要求较高,需要灵活控制用户登录状态的项目。
未来展望
-
可以结合Redis的Hash数据结构实现多端登录管理。
-
增加刷新token接口,实现无感刷新。
-
结合Spring Security进行更细粒度的权限控制。
希望这篇文章对你有所帮助,欢迎点赞和关注!如果你也在用Spring Boot做项目,不妨试试这个思路,灵活又实用。