Access Token 和 Refresh Token 的存储与验证:Redis 的应用场景与优缺点分析

最新推荐文章于 2025-04-28 20:49:02 发布
最新推荐文章于 2025-04-28 20:49:02 发布
阅读量761 收藏 8
点赞数 25
文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75798391/article/details/146287559
版权

简介

在身份认证系统中,Access Token 和 Refresh Token 的存储与验证方式直接影响系统的安全性、性能和用户体验。是否需要使用 Redis 存储 Token,以及在验证时是否依赖 Redis 的校验逻辑,需根据具体场景权衡。以下从不同处理方式展开分析,并结合实际案例说明其优缺点。

一、是否需要使用 Redis 存储 Token?

1. 不存储 Token,依赖 JWT 自验证

场景

  • Access Token 采用 JWT(JSON Web Token)格式,包含签名和过期时间,验证时仅需解析签名和时效性,无需查询数据库或缓存。
  • Refresh Token 同样使用 JWT,但需结合客户端存储策略(如 Secure Cookie)保护其安全性。

优点

  • 无状态架构:服务端无需维护 Token 状态,适合分布式系统,扩展性强。
  • 高性能:验证时无需访问 Redis 或数据库,减少 I/O 延迟。

缺点

  • 无法主动吊销 Token:若需提前使 Token 失效(如用户登出),只能等待其自然过期,存在安全风险。
  • 依赖客户端安全措施:若 Refresh Token 泄露(如未使用 HttpOnly Cookie),攻击者可长期获取新 Access Token。

2. 使用 Redis 存储 Token

(1) 存储 Access Token

场景

  • Access Token 的每次请求需在 Redis 中验证其有效性,或在登出时将其加入黑名单。

优点

  • 主动吊销能力:通过 Redis 维护 Token 黑名单,可立即终止已泄露的 Token。
  • 精细化控制:可记录 Token 的访问频率、设备绑定等信息,增强安全性。

缺点

  • 性能损耗:每次 API 请求需查询 Redis,对高并发系统可能成为瓶颈。
  • 复杂度高:需维护 Redis 集群和 Token 过期策略,增加运维成本。
(2) 存储 Refresh Token

场景

  • Refresh Token 存储在 Redis 中,仅在刷新 Access Token 时验证其有效性。

优点

  • 安全性增强:防止 Refresh Token 被滥用,可通过 Redis 限制刷新频率或绑定设备信息。
  • 灵活管理:支持动态调整 Refresh Token 的过期时间或手动吊销。

缺点

  • 依赖持久化存储:Redis 宕机可能导致刷新功能不可用,需设计高可用方案。
  • 额外存储开销:长期有效的 Refresh Token 需占用较多内存,需定期清理过期数据。

二、验证 Token 时是否需要查询 Redis?

1. 实时验证 Redis 有效性

方式

  • 每次请求携带 Access Token 时,服务端需查询 Redis 确认其是否在黑名单或有效期内。

优点

  • 即时失效控制:可实时拦截被吊销或异常的 Token,安全性最高。
  • 支持动态策略:可根据业务需求动态调整 Token 权限(如降级用户权限)。

缺点

  • 性能代价:频繁的 Redis 查询可能增加响应时间,尤其是高并发场景。

适用场景

  • 高安全性要求的系统(如金融、医疗),需即时吊销 Token。

2. 仅验证 JWT 签名与时效性

方式

  • 仅通过解析 JWT 的签名和过期时间判断有效性,不依赖 Redis 查询。

优点

  • 高性能:无外部依赖,适合高吞吐量 API 服务。
  • 简化架构:无需维护 Token 状态,降低系统复杂度。

缺点

  • 无法主动吊销:Token 泄露后需等待其自然过期,存在安全窗口期。

适用场景

  • 对性能要求极高且安全性风险可控的内部系统。

三、混合方案:平衡安全与性能

1. 分层验证策略

  • Access Token:使用 JWT 自验证,不存储于 Redis,仅校验签名和时效性。
  • Refresh Token:存储于 Redis,刷新时验证其有效性并记录设备/IP 信息,防止跨端滥用。

优点

  • 兼顾性能与安全,减少 Access Token 的 Redis 查询频率。
  • 通过 Refresh Token 控制长期会话,降低泄露风险。

2. 黑名单机制

  • 仅将主动吊销的 Token ID 存入 Redis 黑名单,验证时检查黑名单而非全部 Token。
  • 可设置较短的黑名单过期时间(如 Token 最大有效期),减少内存占用。

四、最佳实践建议

  1. 高敏感场景(如支付系统):

    • 使用 Redis 存储 Refresh Token,并启用黑名单机制管理 Access Token。
    • 绑定设备指纹或 IP,限制 Refresh Token 的使用范围。

  2. 高性能场景(如内容型 API):

    • 采用 JWT 自验证,仅将 Refresh Token 存储于 Redis,并设置合理的刷新频率。

  3. 用户主动登出场景

    • 在 Redis 中记录失效的 Refresh Token,阻止其用于刷新操作。

  4. 分布式系统

    • 使用 Redis 集群保证 Token 状态的一致性,避免单点故障。

五、总结

是否使用 Redis 存储 Token 取决于业务对 安全性性能 和 运维成本 的权衡:

  • 推荐使用 Redis 的场景:需主动吊销 Token、记录访问日志或实施精细化权限控制。
  • 无需 Redis 的场景:对性能要求极高且可接受自然过期策略的无状态服务。

通过混合方案(如分层验证或黑名单),可最大化平衡系统的安全性与效率,适应多样化的业务需求。

5步实现Spring Boot中的双Tokenaccess_token + refresh_token)授权续期
java专栏
11-03 3197
通过今天的介绍,相信你已经掌握了如何在Spring Boot项目中实现基于JWT的双Tokenaccess_token + refresh_token)授权续期功能。Redis的使用使得Token管理更加灵活高效,希望这篇文章能够帮助你在未来的开发中更加得心应手。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
refreshtoken用mysql_微信access_tokenrefresh_token保存于redis
weixin_32336149的博客
01-30 317
此处以保存用户授权access_token为例,接口调用access_token可在项目启动时进行缓存。部分代码如下:@Autowiredprivate RedisTemplate redisTemplate;@Value("${myapp.redisWxUserAccessToken}")private String redisWxUserAccessToken;// 获取public Stri...
Auth 2.0:访问令牌刷新令牌的安全管理
u013400314的博客
11-28 225
【代码】Auth 2.0:访问令牌刷新令牌的安全管理。
Redis存储AccessToken
weixin_34056162的博客
05-31 2003
AccessToken 2小时有效。 就不要每次都调取了,这样会造成浪费。 或者存入Session中,设置过期时间。 或者存入Redis中,设置过期时间。 过期之后,进行重新获取。 <?php class WeixinAction extends CommonAction{ public $red; const TOKEN_EXPIRES = 1000; publ...
微信小程序使用redis作为中控服务器存储accessToken实现多处共享accessToken
叶叶叶叶大爷的博客
12-04 5081
使用springboot框架集成, 因为涉及到业务方面的代码, 本篇博文没有写怎么获取access_token ,获取access_token的方法网上一大片, 随便copy一个就可以了, 本文主要讲解如何集成redis, 然后写入,查询,实现多个地方共享access_token 引进依赖 springboot框架集成任何技术都需要从导入依赖开始, redis也不会例外, 在 common 模块...
Access Token Refresh Token 的不同处理方式及优缺点
2201_75798391的博客
03-15 549
在身份认证授权系统中,是两种关键的安全机制。它们的设计目标是平衡安全性用户体验,但不同的处理方式会对系统产生显著影响。以下是几种常见的处理方式及其优缺点分析。一、Access Token Refresh Token 的基础特性用途:短期有效的令牌,用于直接访问受保护资源(如 API)。生命周期:通常较短(几分钟到几小时)。用途:长期有效的令牌,用于获取新的 Access Token。生命周期:较长(几天到几个月),但可主动撤销。二、不同处理方式及优缺点
Token机制(Access Token + Refresh Token)安全高效
liyunhua258的博客
02-27 1780
【代码】双Token机制(Access Token + Refresh Token)安全高效。
Oauth2.0(三):Access Token Refresh Token
blowing00的专栏
02-28 3963
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
`api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr`这个标题暗示了我们在讨论一个使用Redis作为存储机制,来处理Django框架中的Token验证的场景。这里的`exclaimedthp``roselgr`可能是项目或特定组件的...
OAuth2中 access_tokenrefresh_token的各类配置使用场景FAQ
weixin_45738731的博客
05-17 3920
过去几年的OAuth2经历使用,总结一下,记录有关 access_token, refresh_token的各类配置场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 3730
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息redis
探索 Redis 缓存对系统性能的提升——项目启动操作指南
最新发布
m0_74139496的博客
04-28 830
Redis是一款高性能的键值存储数据库,以其出色的读写速度丰富的数据结构著称,被广泛用作应用系统的缓存层。作为缓存Redis通过将热点数据存储在内存中,显著降低数据库负载,提升响应速度,尤其适用于高并发场景。它支持字符串、哈希、列表等多种数据类型,可灵活应对不同业务需求,并提供了过期机制、持久化选项及集群部署能力,确保数据可靠性扩展性。结合LRU淘汰策略,Redis能自动管理内存,避免溢出。此外,其原子操作发布订阅功能进一步扩展了缓存之外的实时数据处理场景。
03实战篇Redis02(优惠卷秒杀、分布式锁)
qq_56947957的博客
04-25 622
重入问题:重入问题是指 获得锁的线程可以再次进入到相同的锁的代码块中,可重入锁的意义在于防止死锁,比如HashTable这样的代码中,他的方法都是使用synchronized修饰的,假如他在一个方法内,调用另一个方法,那么此时如果是不可重入的,不就死锁了吗?所以可重入锁他的主要意义是防止死锁,我们的synchronizedLock锁都是可重入的。不可重试:是指目前的分布式只能尝试一次,我们认为合理的情况是:当线程在获得锁失败后,他应该能再次尝试获得锁。
如何在 Docker 中搭建 Redis 集群
zru_9602的博客
04-24 948
通过以上步骤,你可以在 Docker 环境中成功搭建一个高可用的 Redis 集群。该集群具备负载均衡故障转移功能,能够满足分布式应用的需求。
Redis——通用命令】
邓富民的博客
04-26 1056
假设我的时间轮大小就是5个格子,每个格子代表每过100ms就走一格,此时来了个要定时3000ms的定时任务,格子不够放,就会重新循环遍历,直到数到第30个格子,然后将该定时任务链接到格子的链表后,每当指针走到这个格子时,回去判断第一个链表是否过期,如果没过期,就继续往后走。由于Redis支持多种数据结构,所以,key是固定的字符串,但是value实际上会有很多种类型:字符串,哈希表,列表,集合,有序集合。返回剩余的过期时间(秒),返回-1表示这个key没有设置过期时间,一直存在,返回-2表示key不存在。
Redis从入门到实战基础篇
chan12345678910的博客
04-24 958
redis从入门到实战基础篇
Redis | Redis单机、主从复制、哨兵集群模式多维度详细对比
Andya_net的博客
04-26 958
Redis 提供了多种部署模式,每种模式都有其独特的技术原理适用场景。单机模式适合开发测试,主从复制模式适合读扩展,哨兵模式适合高可用性,而集群模式适合大规模生产环境。选择合适的部署模式需要根据具体的应用需求、数据量性能要求来决定。
Spring Cloud Gateway限流:基于Redis的请求限流实现
程序媛学姐的博客
04-25 1125
Spring Cloud Gateway的限流功能基于令牌桶漏桶算法实现,支持单机限流分布式限流。令牌桶算法以恒定速率向桶中添加令牌,每个请求消耗一个令牌,当桶空时请求被拒绝,适合处理突发流量;漏桶算法则以固定速率处理请求,多余请求等待或拒绝,更适合稳定速率控制。Spring Cloud Gateway通过RequestRateLimiter过滤器工厂将这些算法路由规则集成,提供灵活的限流配置。/*** 限流过滤器工厂配置示例*//*** 配置基于Redis的限流过滤器工厂*/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

纸鸢666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值