无感刷新-双token

最新推荐文章于 2024-05-21 20:12:35 发布
最新推荐文章于 2024-05-21 20:12:35 发布
阅读量387 收藏 10
点赞数 4
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75489337/article/details/139016948
版权

1.为什么要做双token?

双token系统通常用于提高安全性和分离不同级别的权限。在这种系统中,通常会有两个token:

  • Access Token:这是用户直接使用来访问资源的token。它的有效期较短,一旦过期,用户需要重新认证来获取新的access token。这样做的好处是即使access token被泄露,由于其有效期短,攻击者利用它进行不当操作的时间窗口有限。

  • Refresh Token:Refresh token是用来在access token过期后重新获取新的access token的。它的有效期通常较长,甚至可以说是永久的。但是,refresh token通常不会直接发送给客户端,而是保存在服务器端。当需要刷新access token时,客户端通过提供refresh token来请求新的access token。

此外,使用双token的原因还包括:

  • 安全性:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。即使access token被盗,由于其有效期短,损害可以被控制在一定范围内。

  • 权限管理:双token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。

  • 用户体验:双token系统可以在不影响用户体验的前提下,实现后台的安全管理和策略调整。用户不需要频繁登录,同时也能保证系统的安全性。

  • 灵活性:在需要进行更细粒度的权限控制或者策略调整时,双token系统提供了更多的灵活性。例如,可以在不改变refresh token的情况下,调整access token的有效期或权限范围。

总之,双token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新的token,来提高系统的安全性和灵活性。这种设计特别适用于需要与第三方应用共享权限而又不泄露用户敏感信息的场景。

2.流程图

3.前端代码实现 

const refreshToken = async () => {
    return await axios.get('/apis/bm-member-service-app/api/member/refresh_token', {
        params: {
            refreshToken: beimao_store.refreshToken
        }
    })
        .then(function (response) {

            const { code, msg, data } = response.data
            if (code != 0) {
                return Promise.reject(new Error(msg));
            }

            beimao_store.token = data.token;
            beimao_store.refreshToken = data.refreshToken;
            return Promise.resolve("成功");

        })
        .catch(function (error) {
            return Promise.reject(new Error(error));
        });
}

4.后端代码

 public Map<String,String> login(LoginInfo loginInfo) {
        
       

        Map<String, Object> map = new HashMap<String, Object>() {
            private static final long serialVersionUID = 1L;

            {
                put("id", member.getId());
                put("nickName", member.getNickName());
                put("exp", System.currentTimeMillis()/1000 + 10); //access_token过期时间10s
            }
        };

        String token = JWTUtil.createToken(map, key.getBytes());

        Map<String, Object> map2 = new HashMap<String, Object>() {

            private static final long serialVersionUID = 1L;
            {
                put("id", member.getId());
                //过期时间一小时
                put("exp", System.currentTimeMillis()/1000 + 10 * 60*6);//refreshToken过期时间1h
            }
        };

        //创建刷新令牌refreshToken
        String refreshToken = JWTUtil.createToken(map2, key.getBytes());
        // 创建返回的登录结果Map对象
        Map tokens = new HashMap<String, String>();
        tokens.put("token", token);
        tokens.put("refreshToken", refreshToken);
        return tokens;

    }
 public Map<String, String> refreshToken(String refreshToken) {

        if(ObjectUtil.isEmpty(refreshToken)){
            throw new BizException(461,"refreshToken必传");
        }
        boolean b = false;
        // 验证算法,JWTValidator包含过期的验证,验证比较全面
        try {
            JWTValidator.of(refreshToken).validateAlgorithm(JWTSignerUtil.hs256(key.getBytes())).validateDate();
            b = true;
        }catch (Exception ex){
            ex.printStackTrace();
        }
        if(!b){
            throw new BizException(462,"refreshToken不正确");
        }

        //能走到这说明refreshToken是我们之前下发的。

        JSONObject jsonObject = JSONUtil.toBean(JWTUtil.parseToken(refreshToken).getPayload().toString(), JSONObject.class);

        int id = Integer.parseInt(jsonObject.get("id").toString());
        
         Member member = memberDao.selectById(id);

         if (ObjectUtil.isEmpty(member)) {
            log.error("手机号未注册");
            throw new BizException(613, "手机号或密码错误");
        }
        Map<String, Object> map = new HashMap<String, Object>() {
            private static final long serialVersionUID = 1L;

            {
                put("id", member.getId());
                put("nickName", member.getNickName());
                put("exp", System.currentTimeMillis()/1000 + 10); //access_token过期时间10s
            }
        };
        String token = JWTUtil.createToken(map, key.getBytes());

        Map<String, Object> map2 = new HashMap<String, Object>() {

            private static final long serialVersionUID = 1L;
            {
                put("id", member.getId());
                //过期时间一小时
                put("exp", System.currentTimeMillis()/1000 + 10 * 60*6);//refreshToken过期时间1h
            }
        };

        //创建刷新令牌refreshToken
        String refreshToken2 = JWTUtil.createToken(map2, key.getBytes());
        // 创建返回的登录结果Map对象
        Map tokens = new HashMap<String, String>();
        tokens.put("token", token);
        tokens.put("refreshToken", refreshToken2);
   

        return tokens;

    }

栀栀栀夏夏夏
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: ...3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
登录时做 token实现无感刷新
weixin_58215826的博客
05-17 471
token系统可以更好地管理用户的权限。例如,在开放平台中,第三方应用可以通过refresh token来获取access token,而不需要知道用户的用户名和密码,这样既保证了用户信息的安全,又赋予了第三方应用一定的权限。总之,token系统是一种常见的安全设计模式,通过分离短期和长期凭证,以及用户直接使用的token和用于刷新token,来提高系统的安全性和灵活性。:通过短期的access token和长期的refresh token,可以在不影响用户体验的情况下,减少安全风险。
vue Token无感刷新
an_julia的博客
03-21 588
vue无感刷新token
Token实现无感刷新
New_user_的博客
01-19 1712
服务端把用户信息放入token里,设置一个过期时间,客户端请求的时候通过的header携带token,服务端验证通过,就可以从中取到用户信息。token是有过期时间的,比如3天,那过期后再访问就需要重新登录了。这样体验并不好。想想你在用某个app的时候,用着用着突然跳到登录页了,告诉你需要重新登录了。是不是体验很差?所以要加上续签机制,也就是延长token过期时间。主流的方案是通过token,一个、一个。登录成功之后,返回这两个token访问接口时带上访问:当过期时,通过来刷新,拿到新的。
vue axios实现token无感刷新
weixin_45606890的博客
07-26 2819
vue实现token无感刷新
Vue:token无感刷新
ruancexiaoming的博客
03-06 2825
refresh token的目的是在access token过期后,无需用户重新登录,客户端可以使用refresh token向认证服务器申请新的access token。为了保证安全性,refresh token一般具备一定的安全措施,例如限制其使用次数(防止无限刷新)、设置有效期(过期后必须重新登录)以及严格的存储策略(通常不会在客户端明文存储,而是存储在服务器端或经过加密存储在客户端本地)。用户登录时,通过用户名、密码或其他认证方式向认证服务器请求授权。src目录下创建以下两个文件。
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无感刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的...
请求时token过期自动刷新token操作
10-14
3. **自动刷新Token的实现**: 在本示例中,使用了`axios`作为HTTP客户端。首先,有一个封装的统一请求函数,它会获取`localStorage`中的`token`并将其添加到请求头中。当服务器返回的状态码表示`token`已过期...
token登录无感刷新
qq_46606917的博客
03-27 932
token登录
token实现无感刷新
qq_63431773的博客
09-12 696
token 验证机制,其中 accessToken 过期时间较短,refreshToken 过期时间较长。当 accessToken 过期后,使用 refreshToken 去请求新的 token
基于 Axios 封装一个完美的 token 无感刷新
小生方勤
08-30 468
用户登录之后,会返回一个用户的标识,之后带上这个标识请求别的接口,就能识别出该用户。标识登录状态的方案有两种: session 和 jwt。session 是通过 cookie 返回一个 id,关联服务端内存里保存的 session 对象,请求时服务端取出 cookie 里 id 对应的 session 对象,就可以拿到用户信息。jwt 不在服务端存储,会直接把用户信息放到 token 里返回,每...
关于实现token无感刷新的解决方案
热门推荐
菜鸟的博客
11-27 1万+
问题引入 在开发中为了安全或满足分布式场景,通常会舍弃原有的session认证手段,而采用jwt(json web token);但是使用token难免遇到token有效期的问题,如果token长期有效,服务端不断发布新的token,导致有效的token越来越多,这必然是存在安全问题的。而token不想session一样,在用户操作时会进行刷新,为了用户体验,这个刷新就需要自己实现。 方案 一、使用旧token获取新token 如果采取单个token的方式要实现token的自动刷新,就必须使用定时器,每隔一
如何实现Token无感刷新
weixin_55862073的博客
04-27 1357
为了解决这个问题,采取Token(Access_Token,Refresh_Token无感刷新,用户完全体会不到Token的变化,但实际上,Token已经刷新了。3.Access_Token过期后,前端携带Refresh_Token调用A接口得到新的Access_Token,把新的Access_Token替换旧的Access_Token存储起来。Refresh_Token:用于刷新Access_Token,即调用A接口需要携带Refresh_Token, 用它换得最新的Access_Token
token刷新并把未请求成功的接口进行保存并重新请求
宝子的博客
03-24 465
在接口调用中token都是有过期时间的,如果token过期,后端的接口是调用不成功的,如果没有和后端的交互,那么这个项目也就不能称之为项目了。如果在token过期的时候强制用户跳转到登录页面,这在app里面是不合理的,假设一下比如我正在激烈的团战,突然给我跳转到登录页面告诉我登录过期了,让我重新登录???这就很奇怪好吧。
基于spring security实现vue2前后端分离的token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3603
网上许多博主,放张图片讲讲token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
为什么使用token实现无感刷新用户认证?
zxcvb0825的博客
01-15 1263
颁发Access Token & Refresh Token(当认证成功了以后,颁发两个内容,一个是Access Token 另一个 Refresh Token,Access Token是一个短期的token(比如几十分钟),Refresh Token是一个长期的token(比如可以设置几天或者更长的时间),这两个token都会返回客户端)----->:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
实现无感刷新token(看这一篇就够了)
weixin_57909742的博客
11-09 3297
无感刷新Token是指,在Token过期之前,系统自动使用Refresh Token获取新的Access Token,从而实现Token无感刷新,用户可以无缝继续使用应用。如何判断Token是否过期?如何在Token过期时自动使用Refresh Token获取新的Access Token?下面将介绍如何实现无感刷新Token的具体步骤。无感刷新Token技术是一种在客户端应用中自动刷新访问令牌的机制,它通过提供用户无感知的刷新操作,改善了用户体验,提高了安全性,同时减轻了服务端的负担。
一些token无感刷新的思考(附代码)
最新发布
PleaseBeStrong的博客
05-21 1247
通过该定时器类,可以实现MyTimer.start 方法调用setInterval 间隔delay 时间步执行,判断当前的token过期时间是否小于我们设置的minCheck , 如果小于则使用refreshToken异步刷新token// delay为重复探查的间隔时间 , minCheck是判断token是否是快过期的// 如果存在token,判断是否过期// 假设有一个函数用于获取token的过期时间// 如果剩余时间小于等于5分钟,则异步发送刷新请求并更新token
vue 无感刷新token
04-18
好的,关于vue无感刷新token的问题,我可以给您提供一些参考。在vue中,可以通过使用axios拦截器来实现无感刷新token的功能。具体可以参考以下代码示例: ```javascript import axios from 'axios' // 创建axios实例 const service = axios.create({ baseURL: 'http://api.xxx.com', // api的base_url timeout: 5000 // 请求超时时间 }) // request拦截器 service.interceptors.request.use( config => { // 在请求发送之前做一些处理 // 比如判断本地是否有token,如果有就在请求头中携带token const token = localStorage.getItem('token') if (token) { config.headers['Authorization'] = token } return config }, error => { // 处理请求错误 console.log(error) Promise.reject(error) } ) // response拦截器 service.interceptors.response.use( response => { // 在响应之后做一些处理 // 对于需要刷新token的请求,可以在响应头中设置新的token const newToken = response.headers['new-token'] if (newToken) { localStorage.setItem('token', newToken) } return response }, error => { // 处理响应错误 console.log(error) return Promise.reject(error) } ) export default service ``` 以上的代码中,我们可以看到在request拦截器中,我们可以在请求头中携带token。而在response拦截器中,我们可以根据响应头中的new-token来更新本地的token。这样就可以实现无感刷新token的功能了。希望能对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值