基于Redis實(shí)現(xiàn)雙加密Token的示例代碼

更新時(shí)間：2025年01月13日 11:38:39 作者：Asthenia0412

在現(xiàn)代分布式系統(tǒng)中,Token管理是身份驗(yàn)證和授權(quán)的核心部分,本文將深入分析一個(gè)基于Redis的Token管理實(shí)現(xiàn),探討其設(shè)計(jì)思路、關(guān)鍵代碼邏輯以及實(shí)現(xiàn)細(xì)節(jié),通過(guò)對(duì)源碼的逐層剖析,幫助讀者更好地理解Token管理的實(shí)現(xiàn)原理,需要的朋友可以參考下

1. 核心設(shè)計(jì)思路

TokenStore類的核心設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)一個(gè)高效、安全的Token管理系統(tǒng)，主要功能包括：

Token的生成與存儲(chǔ)：用戶登錄時(shí)生成accessToken和refreshToken，并將其存儲(chǔ)在Redis中。
Token的刷新：通過(guò)refreshToken獲取新的accessToken。
Token的刪除：刪除用戶的所有Token，通常用于用戶注銷或管理員禁用用戶。
用戶信息的獲取：通過(guò)accessToken獲取用戶的詳細(xì)信息。

為了實(shí)現(xiàn)這些功能，TokenStore類依賴Redis作為存儲(chǔ)介質(zhì)，利用Redis的高性能和豐富的數(shù)據(jù)結(jié)構(gòu)（如String、Set）來(lái)管理Token和用戶信息。

2. 關(guān)鍵代碼邏輯分析

2.1 Token的生成與存儲(chǔ)

在用戶登錄時(shí)，系統(tǒng)會(huì)生成一個(gè)accessToken和一個(gè)refreshToken，并將它們存儲(chǔ)在Redis中。以下是storeAccessToken方法的核心邏輯：

public TokenInfoBO storeAccessToken(UserInfoInTokenBO userInfoInToken) {
    TokenInfoBO tokenInfoBO = new TokenInfoBO();
    String accessToken = IdUtil.simpleUUID(); // 生成隨機(jī)的accessToken
    String refreshToken = IdUtil.simpleUUID(); // 生成隨機(jī)的refreshToken

    tokenInfoBO.setUserInfoInToken(userInfoInToken);
    tokenInfoBO.setExpiresIn(getExpiresIn(userInfoInToken.getSysType())); // 設(shè)置Token過(guò)期時(shí)間

    String uidToAccessKeyStr = getUidToAccessKey(getApprovalKey(userInfoInToken)); // 生成uid_to_access的Redis Key
    String accessKeyStr = getAccessKey(accessToken); // 生成access_token的Redis Key
    String refreshToAccessKeyStr = getRefreshToAccessKey(refreshToken); // 生成refresh_to_access的Redis Key

    // 將新的Token加入現(xiàn)有Token列表
    List<String> existsAccessTokens = new ArrayList<>();
    existsAccessTokens.add(accessToken + StrUtil.COLON + refreshToken);

    // 檢查并清理過(guò)期的Token
    Long size = redisTemplate.opsForSet().size(uidToAccessKeyStr);
    if (size != null && size != 0) {
        List<String> tokenInfoBoList = stringRedisTemplate.opsForSet().pop(uidToAccessKeyStr, size);
        if (tokenInfoBoList != null) {
            for (String accessTokenWithRefreshToken : tokenInfoBoList) {
                String[] accessTokenWithRefreshTokenArr = accessTokenWithRefreshToken.split(StrUtil.COLON);
                String accessTokenData = accessTokenWithRefreshTokenArr[0];
                if (BooleanUtil.isTrue(stringRedisTemplate.hasKey(getAccessKey(accessTokenData)))) {
                    existsAccessTokens.add(accessTokenWithRefreshToken);
                }
            }
        }
    }

    // 使用Redis管道批量操作
    redisTemplate.executePipelined((RedisCallback<Object>) connection -> {
        long expiresIn = tokenInfoBO.getExpiresIn();

        byte[] uidKey = uidToAccessKeyStr.getBytes(StandardCharsets.UTF_8);
        byte[] refreshKey = refreshToAccessKeyStr.getBytes(StandardCharsets.UTF_8);
        byte[] accessKey = accessKeyStr.getBytes(StandardCharsets.UTF_8);

        // 將Token列表存入Redis
        for (String existsAccessToken : existsAccessTokens) {
            connection.sAdd(uidKey, existsAccessToken.getBytes(StandardCharsets.UTF_8));
        }

        // 設(shè)置uid_to_access的過(guò)期時(shí)間
        connection.expire(uidKey, expiresIn);

        // 存儲(chǔ)refresh_to_access的映射
        connection.setEx(refreshKey, expiresIn, accessToken.getBytes(StandardCharsets.UTF_8));

        // 存儲(chǔ)access_token對(duì)應(yīng)的用戶信息
        connection.setEx(accessKey, expiresIn, Objects.requireNonNull(redisSerializer.serialize(userInfoInToken)));

        return null;
    });

    // 返回加密后的Token
    tokenInfoBO.setAccessToken(encryptToken(accessToken, userInfoInToken.getSysType()));
    tokenInfoBO.setRefreshToken(encryptToken(refreshToken, userInfoInToken.getSysType()));

    return tokenInfoBO;
}

關(guān)鍵點(diǎn)分析：

Token生成：使用IdUtil.simpleUUID()生成隨機(jī)的accessToken和refreshToken，確保Token的唯一性。
Redis數(shù)據(jù)結(jié)構(gòu)：
- uid_to_access：使用Set數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)用戶的所有Token，方便管理和清理。
- refresh_to_access：使用String數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)refreshToken到accessToken的映射。
- access_token：使用String數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)accessToken對(duì)應(yīng)的用戶信息。
過(guò)期時(shí)間管理：根據(jù)用戶類型（sysType）設(shè)置不同的Token過(guò)期時(shí)間，普通用戶和管理員的Token過(guò)期時(shí)間不同。
Redis管道操作：通過(guò)executePipelined方法批量執(zhí)行Redis操作，減少網(wǎng)絡(luò)開(kāi)銷，提升性能。

2.2 Token的刷新

當(dāng)accessToken過(guò)期時(shí)，用戶可以通過(guò)refreshToken獲取新的accessToken。以下是refreshToken方法的核心邏輯：

public ServerResponseEntity<TokenInfoBO> refreshToken(String refreshToken) {
    if (StrUtil.isBlank(refreshToken)) {
        return ServerResponseEntity.showFailMsg("refreshToken is blank");
    }
    ServerResponseEntity<String> decryptTokenEntity = decryptToken(refreshToken); // 解密refreshToken
    if (!decryptTokenEntity.isSuccess()) {
        return ServerResponseEntity.transform(decryptTokenEntity);
    }
    String realRefreshToken = decryptTokenEntity.getData();
    String accessToken = stringRedisTemplate.opsForValue().get(getRefreshToAccessKey(realRefreshToken)); // 獲取對(duì)應(yīng)的accessToken

    if (StrUtil.isBlank(accessToken)) {
        return ServerResponseEntity.showFailMsg("refreshToken 已過(guò)期");
    }
    ServerResponseEntity<UserInfoInTokenBO> userInfoByAccessTokenEntity = getUserInfoByAccessToken(accessToken, false);

    if (!userInfoByAccessTokenEntity.isSuccess()) {
        return ServerResponseEntity.showFailMsg("refreshToken 已過(guò)期");
    }

    UserInfoInTokenBO userInfoInTokenBO = userInfoByAccessTokenEntity.getData();
    // 刪除舊的refresh_token和access_token
    stringRedisTemplate.delete(getRefreshToAccessKey(realRefreshToken));
    stringRedisTemplate.delete(getAccessKey(accessToken));
    // 生成新的Token
    TokenInfoBO tokenInfoBO = storeAccessToken(userInfoInTokenBO);

    return ServerResponseEntity.success(tokenInfoBO);
}

關(guān)鍵點(diǎn)分析：

Token解密：通過(guò)decryptToken方法解密refreshToken，確保Token的安全性。
Token映射：通過(guò)refresh_to_access的映射關(guān)系，找到對(duì)應(yīng)的accessToken。
Token清理：刪除舊的refreshToken和accessToken，防止Token被重復(fù)使用。
新Token生成：調(diào)用storeAccessToken方法生成新的Token。

2.3 Token的刪除

在某些情況下（如用戶注銷或管理員禁用用戶），需要?jiǎng)h除用戶的所有Token。以下是deleteAllToken方法的核心邏輯：

public void deleteAllToken(String appId, Long uid) {
    String uidKey = getUidToAccessKey(getApprovalKey(appId, uid)); // 生成uid_to_access的Redis Key
    Long size = redisTemplate.opsForSet().size(uidKey);
    if (size == null || size == 0) {
        return;
    }
    List<String> tokenInfoBoList = stringRedisTemplate.opsForSet().pop(uidKey, size);

    if (CollUtil.isEmpty(tokenInfoBoList)) {
        return;
    }

    // 遍歷并刪除所有Token
    for (String accessTokenWithRefreshToken : tokenInfoBoList) {
        String[] accessTokenWithRefreshTokenArr = accessTokenWithRefreshToken.split(StrUtil.COLON);
        String accessToken = accessTokenWithRefreshTokenArr[0];
        String refreshToken = accessTokenWithRefreshTokenArr[1];
        redisTemplate.delete(getRefreshToAccessKey(refreshToken));
        redisTemplate.delete(getAccessKey(accessToken));
    }
    redisTemplate.delete(uidKey); // 刪除uid_to_access的Key
}

關(guān)鍵點(diǎn)分析：

批量刪除：通過(guò)uid_to_access的Set數(shù)據(jù)結(jié)構(gòu)，獲取用戶的所有Token并批量刪除。
清理映射關(guān)系：刪除refresh_to_access和access_token的映射關(guān)系，確保Token完全失效。

3. 總結(jié)

通過(guò)對(duì)TokenStore類的深入分析，我們可以看到其設(shè)計(jì)思路清晰，代碼邏輯嚴(yán)謹(jǐn)。通過(guò)Redis的高效存儲(chǔ)和豐富的數(shù)據(jù)結(jié)構(gòu)，實(shí)現(xiàn)了Token的生成、刷新、刪除以及用戶信息的獲取。這種設(shè)計(jì)不僅保證了系統(tǒng)的安全性，還提升了系統(tǒng)的性能和可擴(kuò)展性。

希望本文的源碼分析能夠幫助你更好地理解Token管理的實(shí)現(xiàn)原理。

到此這篇關(guān)于基于Redis實(shí)現(xiàn)雙加密Token的示例代碼的文章就介紹到這了,更多相關(guān)Redis雙加密Token內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: