JWT有效期和续签机制设计

1. 有效期设置
   • 对于不同用户角色，在用户登录时，根据角色配置不同的JWT有效期。例如，普通用户有效期设为1小时，管理员角色有效期设为8小时。可以将这些配置存储在配置文件或数据库中，方便灵活调整。
   • 在生成JWT时，将有效期信息（如过期时间戳）作为payload的一部分进行加密。例如，使用Python的PyJWT库生成JWT时：

   import jwt
   from datetime import datetime, timedelta
   
   # 假设role为用户角色，从登录逻辑中获取
   def generate_jwt(role, user_id):
       if role == '普通用户':
           expiration = datetime.utcnow() + timedelta(hours = 1)
       elif role == '管理员':
           expiration = datetime.utcnow() + timedelta(hours = 8)
       payload = {
           'user_id': user_id,
           'exp': expiration
       }
       token = jwt.encode(payload, 'your_secret_key', algorithm='HS256')
       return token
   

2. 续签机制
   • 前端主动续签：前端在JWT快过期时（例如，提前10分钟），向后端发送续签请求。后端验证请求合法性（如检查用户是否在登录状态，请求来源是否合法等）后，重新生成JWT并返回给前端。
   • 后端被动续签：后端在处理请求时，检查JWT的有效期。如果JWT即将过期（如剩余时间小于5分钟），且用户操作合法，后端主动为用户续签JWT，并在响应头中返回新的JWT。这样前端无需额外处理，只要在后续请求中使用新的JWT即可。

高并发下性能优化

1. 缓存
   • 使用分布式缓存（如Redis）来缓存JWT相关信息。在验证JWT时，先从缓存中查找JWT的有效性，减少数据库查询压力。例如，将JWT的过期时间存储在Redis中，验证时先从Redis获取过期时间，与当前时间比较。

   import redis
   r = redis.Redis(host='localhost', port = 6379, db = 0)
   
   def is_jwt_valid(jwt_token):
       # 假设在生成JWT时，将过期时间也存入了Redis
       expiration = r.get(jwt_token)
       if expiration:
           return datetime.utcnow() < datetime.fromtimestamp(int(expiration))
       # 如果缓存中没有，再进行常规验证（如数据库查询等）
       return False
   

2. 异步处理
   • 对于续签操作，可以使用异步任务队列（如Celery）。当收到续签请求时，将续签任务放入队列，后端立即返回响应给前端，由异步任务在后台处理续签并返回新的JWT。这样可以避免高并发时续签操作阻塞请求处理线程。
3. 负载均衡
   • 使用负载均衡器（如Nginx）将请求均匀分配到多个后端服务器上，避免单个服务器负载过高。负载均衡器可以根据服务器的负载情况动态调整请求分配，提高整体系统的吞吐量。

应对不同角色的差异化需求

1. 配置管理
   • 如前文所述，将不同角色的JWT有效期配置存储在配置文件或数据库中。这样在系统运行时，可以方便地根据业务需求调整不同角色的有效期，而无需修改代码。
2. 动态调整
   • 在某些特殊情况下，可能需要根据业务逻辑动态调整某个用户角色的JWT有效期。例如，在进行系统维护时，临时缩短管理员角色的JWT有效期。可以通过管理接口，实时修改数据库中的配置信息，后端在生成或续签JWT时读取最新配置。