OAuth2.0的refresh token

最新推荐文章于 2025-07-08 05:15:00 发布
转载 最新推荐文章于 2025-07-08 05:15:00 发布 · 4.1w 阅读 · 12
文章标签:

#token #access #数据库 #session #api #新浪微博

本文对比了OAuth1.0与OAuth2.0的区别,重点讲解了accesstoken的有效期及refreshtoken的概念。OAuth2.0增强了安全性,缩短了accesstoken的有效期,并引入refreshtoken来刷新过期的accesstoken。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载自http://www.html-js.com/?p=1297


最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0.

二者还是有很多不同的,主要的不同点在access token的获取方式.

OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期是无限的.

但是OAuth2.0为了增强安全性,access token的有效期被大大缩短,通常只有几个小时,也可以申请增加到几十天,但是总是会有过期的时候.

为此,OAuth2.0增加了一个refresh token的概念,这个token并不能用于请求api.它是用来在access token过期后刷新access token的一个标记.

这里所描述的场景,通常是指那种长周期的应用.也就是需要一直保持用户在线的应用.

在线并不是说用户一直在用这个应用,也可能是用户已经离开,我们在后台仍然可以自动维持用户的状态.例如一个自动发状态的应用.用户并不需要操作这个应用,我们会定时在后台利用用户的accesskey帮助用户发送状态.这也算是用户维持登录状态的一种.

登录状态的维持,在OAuth中靠的是access token,只要我们的应用定时从数据库里取出用户的access token,然后利用access token就可以使用这个用户的身份去请求api了.

在OAuth1.0中用户的登录状态是一直存在的.

在OAuth2.0中用户的登录状态需要通过不断刷新来维持.

例如上面提到的应用.假设更详细的场景,这个应用在用户授权之后,每天给用户的人人网发送一条状态报告当天的日期.

用户授权之后,获取到一个access token和一个refresh token,还有一个是session key,这个是国内大多数开放平台自己添加的一个标记,可以让用户使用http来调用api,如果没有它,用户只能通过https来调用api.session key的生命周期和access token是相同的.

我们把这三个值存到一个队列的数据库中.

然后,在每天的10点,我们遍历这个数据库表,取出它的access token和session key,然后用他们去请求api,如果发现他们已经过期,我们就需要利用refresh token去重新刷新,获取新的access token和session key.然后利用他们去请求api,如果请求的时候提示refresh token也已经过期,那么这时候用户的登录状态就会过期,这说明这个用户至少2各月没有在此应用活跃了,这个活跃不光指用户自己在使用应用,也包括应用自动调用用户api的行为.

每次刷新token的时候都会返回一个新的refresh token,所以说如果你的应用每个月帮用户发一条状态的话,走上面的流程,一直下去,这个用户的登录状态一直都不会过期,至于为什么,自己去琢磨哦,琢磨透了也就理解了.


目前新浪微博的Oauth2.0的refresh token不对外开放。

Oauth2.0(三):Access TokenRefresh Token
blowing00的专栏
02-28 4012
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
Spring oauth2.0 刷新token后设置原token5分钟内继续可用
06-01 4149
默认情况下刷新token后原token会立马不可用。但是在某些情况下我们需要刷新token后原token在一定时间内继续可用(例如微信的刷新token)。 通过查看DefaultTokenServices中的刷新token方法refreshAccessToken可以看到生成新的token后会调用removeAccessTokenUsingRefreshToken方法,此方法默认会删除存储的相关token信息 private void removeAccessTokenUsingRefreshToken
无感知刷新操作(对token的过期失效理)
wz5208的博客
01-25 765
无感知刷新操作(对token的过期失效理) // 第二种axios的无痛刷新 --- 设置在aixos响应拦截器中 instance.interceptors.response.use(function(response) { return response }, async function(error) { if(error.response && error.response.status === 401) { // 取到存入本地的refresh_tok
spring security oauth2refresh token
崔向阳@李晓的博客
07-04 1万+
oAuth2.0认证服务器生成的Access_token是有有效期限制的默认为12个小时,refresh_token默认为三十天。如果Access_token提示过期,可以根据refresh_token获取新的Access_token 下面介绍如何生成refresh_token,并根据refresh_token获取新的Access_token: authorizedGrantTypes oa...
每日一博 - 基于 Access TokenRefresh Token实现无感刷新
最新发布
小工匠
07-08 1174
Token机制实现安全无感刷新方案 摘要: 双Token机制采用Access Token(短期有效)和Refresh Token(长期有效)的组合方案。用户登录时获得两个TokenAccess Token用于接口鉴权,Refresh Token用于Token刷新。当Access Token过期时,客户端自动使用Refresh Token请求新Token,实现无感刷新。该方案通过拦截器实现过期检测(返回511状态码)和自动刷新,并考虑安全防护(HttpOnly、防重放)和性能优化(并发控制)。服务端需验证
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
热门推荐
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 2111
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
OAuth 2.0 中的 refresh_token 和它的重要性
AI天才研究院
12-27 2187
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
OAuth 2.0 中,refreshToken(刷新令牌)存在的意义
qq_41893505的博客
12-06 2300
它允许客户端在不频繁请求用户授权的情况下,安全地获取新的 accessToken,从而实现短生命周期令牌的安全管理和长期会话的维持。在 OAuth 2.0 中,refreshToken(刷新令牌) 的主要目的是为了提升用户体验和安全性,同时确保访问令牌的有效性。通过 refreshToken,客户端不需要频繁请求用户授权,减少了授权服务器需要进行用户身份验证的频率,从而降低了服务器的负载。访问令牌(accessToken) 的有效期一般较短,通常是几分钟到几个小时。但是,短有效期可能会对用户体验造成影响。
OAuth2.0代码模拟实现
12-26
OAuth2.0是一种广泛使用的授权框架,用于在第三方应用与用户资源之间建立安全的数据共享机制。这个框架允许用户授权第三方应用访问他们存储在特定服务提供商(如Google或Facebook)上的数据,而无需分享他们的登录...
oauth2.0 access_token资源认证
01-10
在这个场景中,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
springboot_security_oauth2.0_redis:redis 缓存,mysql存储用户信息
04-30
springboot_security_oauth2.0 add requeset: add response: {"access_token":"b2c338d7-c71d-4e8b-b2bf-809a2fb1b27c","token_type":"bearer","refresh_token":"3c66fd1c-60b5-44d2-a614-548941c13c25","expires_in...
SpringBoot OAuth2.0 refresh_token(刷新令牌)
狮子大大
03-26 6445
SpringBoot OAuth2.0 刷新令牌 通常在 access_token 时间过期后,需要去获取新的 token 才能继续访问接口 在 使用 SpringSecurity + OAuth2.0, 可以采用 refresh_token 模式重新申请 access_token 修改 MooseAuthorizationServerConfiguration 文件 /** * Authorization Server endpoints. * * @throws Exception
OAuth2.0refresh_token更新access_token令牌
张俊杰 的博客
02-07 7679
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
Oauth2.0实现token刷新功能
康小虎的博客
07-13 1万+
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2、刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
图解OAuth 2.0协议族(二):刷新令牌 refresh token
yunyun1886358的专栏
11-06 1242
OAuth 2.0协议:刷新令牌 refresh token 刷新令牌refresh token用来支持客户端在得到资源拥有者的首次授权之后,在访问令牌access token失效之后,可以获取新的访问令牌,而不需要资源拥有者的再次授权。这也是TOFU(Trust On First Use)原则,既首次使用信任原则思想的体现。 response type:code grant type: authorization code token type: bearer token: access tok
SpringBootSecurity学习(20)前后端分离版之OAuth2.0刷新token
Blues的专栏
10-11 2567
刷新token 前面的例子和配置都是从头开始申请授权码和令牌,现在来看一下如何根据获取令牌时,回参中的 refresh_token 来刷新令牌。现在在项目中配置的是内存模式的默认用户名密码,第一步先改成数据库查询的方式,具体过程参考前面的文章即可,来看security配置类: 然后修改授权服务配置类,在 endpoints 中配置userDetailsService: 修改成数据库方式也是为了...
Oauth2.0实现token刷新功能(二)
康小虎的博客
04-22 4715
文章目录前言直接上代码总结 前言 之前写过一篇“Oauth2.0实现token刷新功能”,发现大家阅读的还是特别多,那个是基于Spring Cloud实现的刷新功能,现在将它改为基于普通过滤器实现token刷新。 直接上代码 基本思路还是跟之前一样,过滤器拦截请求验证tokentoken过期后请求单点登录服务器换取新的access_tokenrefresh_token,将两个token放到过滤器返回体的头部。从而不影响本次请求,同时还能在本次请求的过程中做到无痕刷新token。 @Override
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2512
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
oauth2.0 access token 2小时内重复请求
03-12
<think>好的,我需要解决用户提出的关于OAuth 2.0access token2小时内重复请求的问题。首先,我得理解用户的问题场景。用户可能遇到的情况是,当access token的有效期是2小时,如果在短时间内多次请求新的access token,可能会导致资源浪费或授权服务器压力增大,甚至可能触发安全机制。用户希望找到解决方案来避免这种情况。 根据提供的引用资料,特别是引用[4]和[5],其中提到了access tokenrefresh token的使用。微信网页授权方案中提到,access token有效期2小时,refresh token有效期30天,当access token过期后可以用refresh token来刷新。同时,引用[5]讨论了如何实现token刷新功能,可能涉及后端存储和管理token。 接下来,我需要考虑可能的解决方案。首先,标准的OAuth 2.0流程中,客户端在access token过期后应使用refresh token来获取新的access token,而不是重新走完整的授权流程。这样可以减少重复请求。但用户提到的是在2小时内重复请求的问题,可能是指客户端在access token未过期时就频繁请求新的token,或者多个客户端实例同时请求导致重复。 可能的解决方案包括: 1. **Token缓存与单例模式**:在客户端维护一个全局的access token实例,确保同一时间只有一个token被使用,避免多个请求同时触发token刷新。这需要确保线程安全,比如使用互斥锁或同步机制。 2. **后端集中管理**:如引用[4]和[5]提到的,使用Redis等缓存系统存储token,并设置过期时间。所有客户端实例都从缓存中获取token,当token即将过期时,由后端统一刷新,避免各个客户端各自刷新导致的重复请求。 3. **请求队列机制**:当检测到token即将过期时,将后续请求放入队列,等待token刷新完成后再处理,防止在刷新过程中多个请求同时触发刷新。 4. **时间缓冲策略**:在token实际过期前预留一个时间窗口(比如提前5分钟刷新),避免在过期瞬间大量请求同时发起刷新。 5. **分布式锁**:在分布式系统中,使用分布式锁确保只有一个节点能执行token刷新操作,其他节点等待刷新完成后再获取新token。 需要考虑这些方案的实现细节和潜在问题。例如,使用Redis存储token时,如何确保高可用性和一致性;分布式锁的实现方式(如RedLock);以及如何处理网络延迟或失败重试的情况。 此外,引用[4]提到用Redis设置键值对的过期时间,这可以用来自动管理token的生命周期。当客户端发现Redis中没有token记录时,就知道需要重新获取或刷新。同时,刷新token后需要更新Redis中的存储,并设置新的过期时间。 可能还需要参考OAuth 2.0的最佳实践,比如避免频繁刷新token,合理设置token的有效期,以及使用适当的退避策略(如指数退避)来处理失败情况。 最后,验证这些方案的有效性,比如通过压力测试检查在高并发下是否仍能避免重复请求,以及如何监控token的使用情况来优化策略。</think>### OAuth 2.0中解决access token 2小时内重复请求的方案 针对access token在有效期内被重复请求的问题,以下是逐步解决方案: --- #### **1. 客户端缓存与单例模式** - **问题**:多个客户端实例可能同时检测到token即将过期,各自发起刷新请求。 - **解决方案**: - 在客户端使用**单例模式**全局管理access token,确保所有请求共享同一token实例。 - 加锁机制(如互斥锁)保证刷新操作原子性: ```python import threading class TokenManager: _instance = None _lock = threading.Lock() def __new__(cls): with cls._lock: if not cls._instance: cls._instance = super().__new__(cls) cls.token = None return cls._instance def refresh_token(self): # 调用授权服务器刷新token pass ``` --- #### **2. 后端集中存储与刷新控制** - **问题**:分布式系统中多个服务实例可能独立刷新token。 - **解决方案**: - **Redis缓存管理**(引用[4]): - 将access token存储于Redis,并设置过期时间(如2小时)。 - 所有服务实例从Redis读取token,避免重复刷新。 - 刷新逻辑: 1. 检查Redis中token剩余时间(TTL)。 2. 若剩余时间小于阈值(如5分钟),触发刷新。 3. 使用**分布式锁**(如RedLock)确保仅一个实例执行刷新。 ```java // 伪代码示例:使用Redis的SETNX实现分布式锁 String lockKey = "token_refresh_lock"; String tokenKey = "access_token"; if (redis.ttl(tokenKey) < 300) { // 剩余时间小于5分钟 if (redis.setnx(lockKey, "locked") == 1) { try { // 刷新token并更新Redis String newToken = refreshFromAuthServer(); redis.setex(tokenKey, 7200, newToken); // 2小时有效期 } finally { redis.del(lockKey); } } } ``` --- #### **3. 请求队列与异步刷新** - **问题**:高并发场景下,多个请求同时触发刷新。 - **解决方案**: - **队列缓冲**:将需要token的请求暂存至队列,等待刷新完成后统一处理。 - **异步刷新**:由后台任务定期检查token有效期并提前刷新,减少实时请求的压力。 --- #### **4. 时间缓冲策略** - **优化点**:避免在token过期临界点集中刷新。 - 在客户端或服务端设置**时间缓冲**(如提前10%有效期触发刷新)。 - 例如:2小时有效期的token,在1小时50分钟时主动刷新。 --- #### **5. 安全与容错设计** - **Refresh Token保护**(引用[4]): - refresh_token存储于安全介质(如数据库或加密缓存)。 - 限制refresh_token使用频率,防止滥用。 - **失败重试与回退**: - 若刷新失败,采用指数退避策略重试。 - 若refresh_token失效,强制用户重新授权(引用[4])。 --- ###
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值