安全的 Token 刷新机制:Refresh Token 轮换与权限实时同步
在现代 Web 应用中,基于 JWT 的无状态认证广泛使用。然而,为了兼顾安全性和用户体验,通常采用双 Token 机制(Access Token + Refresh Token)。本文将详细阐述如何安全地实现 Refresh Token 的存储、轮换,并确保权限变更能实时生效。
一、核心原则
- Refresh Token 以 SessionId 为唯一标识:每个会话对应一个 Refresh Token
- Refresh Token 可重复使用:在有效期内可多次刷新 Access Token
- Access Token 必须反映用户当前状态:刷新时应重新加载用户最新角色和权限
- Refresh Token 应持久化存储:因其低频使用,适合存入数据库
二、Refresh Token 数据库表设计
由于 Refresh Token 使用频率低,将其存储在关系型数据库中是安全且高效的选择。以下是推荐的表结构:
CREATETABLErefresh_tokens(idBIGINTPRIMARYKEYAUTO_INCREMENT,session_idVARCHAR(128)NOTNULLUNIQUECOMMENT'会话唯一标识',user_idVARCHAR(64)NOTNULL,token_hashVARCHAR(255)NOTNULLCOMMENT'Refresh Token 的 BCrypt 哈希值',device_infoVARCHAR(500)COMMENT'设备或浏览器信息',login_channelVARCHAR(50)COMMENT'登录渠道:web/app/wechat等',ip_addressVARCHAR(45),created_atDATETIMENOTNULLDEFAULTCURRENT_TIMESTAMP,expires_atDATETIMENOTNULL,revokedBOOLEANDEFAULTFALSECOMMENT'是否已被撤销',last_used_atDATETIME,use_countINTDEFAULT0COMMENT'使用次数统计',INDEXidx_user_id(user_id),INDEXidx_session_id(session_id),INDEXidx_token_hash(token_hash),INDEXidx_expires_at(expires_at));字段说明:
session_id:会话唯一标识,用于管理特定设备/浏览器的登录状态login_channel:区分登录来源(Web端、App、小程序等)use_count:统计 Refresh Token 被使用的次数
三、完整实现流程
1. 用户登录
- 验证用户名/密码
- 生成唯一
session_id(UUID) - 生成 Access Token(含当前角色)和 Refresh Token
- 将 Refresh Token 信息存入
refresh_tokens表 - 返回 Token 对和
session_id给客户端
2. 刷新 Access Token(关键步骤)
- 客户端发送
session_id+ Refresh Token 到/auth/refresh - 服务端根据
session_id查询对应的 Refresh Token 记录 - 验证 Refresh Token 是否有效(未过期、未撤销、哈希匹配)
- 重新从用户服务加载用户最新信息(包括角色、启用状态等)
- 若用户已被禁用或删除,拒绝刷新
- 生成新的 Access Token(基于最新权限)
- 使用原有 Refresh Token(不重新生成)
- 更新使用次数和最后使用时间
- 返回新 Access Token 给客户端
3. 用户登出
- 客户端调用
/auth/logout并传入session_id - 服务端根据
session_id将对应 Refresh Token 标记为已撤销
