为什么使用双token实现无感刷新用户认证?

最新推荐文章于 2024-04-14 15:11:50 发布
最新推荐文章于 2024-04-14 15:11:50 发布
阅读量1k 收藏 24
点赞数 24
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aan___/article/details/135587540
版权

单token机制

认证机制:对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。

不足之处:

  • 安全性较低(因为只有一个token在客户端和服务器端之间进行传递,一旦Access Token被截获或者被泄露,攻击者就会在有效时间内完成模拟用户行为,访问所有受保护资源)
  • 短有效期策略限制无法撤销会话(为了提高安全性access token通常设置的时间是比较短的,然而需要频繁的去获取access token,影响的是用户的体验,尤其是长时间操作或者是后台的服务场景下就会遇到一个瓶矜,而且也无法撤销对应的汇报,如果某个token被盗用了,难以立即撤销这个token的有效性,从而不能立即中断攻击者的访问权限)
  • 无代态刷新问题(若要自动去刷新token维持长期的绘画,单token的机制需要将刷新的逻辑耦合到具体的业务流程当中,这就会增加复杂性和潜在的安全风险)
  • 没有权限细分管理(单一的access token包含所有的授权信息,不易于对不同范文或者是力度的一个资源进行精细化的访问控制)

双Token机制

操作机制:双Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌),它的出现就是为了解决单token的不足,所以才会引入双token的机制也就是 RefreshToken (刷新令牌),因为它可以延长实际的绘画时间,用户提供了一种安全的方式来去更新AccessToken,并且在必要的时候撤销特定用户的权限,而并不会影响有效的绘画内容。

实时上双token的机制是 o os 2.0标准中常见的一种实现,主要包含两个类型的token,一个是AccessToken (访问令牌) ,一个是RefreshToken (刷新令牌)

AccessToken (访问令牌):它会设置一个有效时间较短的令牌内容,用于的是用户每次请求受保护资源时,进行身份验证的操作,通常直接包含在api请求头或者是URL地址参数之中,用于证明客户端其实是有权限去访问特定的资源的

RefreshToken (刷新令牌):刷新令牌,会设置一个有效时间比较长并且安全存储比较高的一个令牌,主要用于AccessToken过期了以后,去重新获取AccessToken的操作内容。我们并不需要用户去提供一个特殊的登录凭证。因为RefreshToken 一般不会频繁的在网络上进行传输,目的就是为了降低被截取的一个风险

双token有很多优势:

  • 安全性提升(因为AccessToken和RefreshToken其实是会被分离的,即使AccessToken被盗用了,但是由于有效时间是比较短的,损失还是可以控制的,同时RefreshToken的安全性则会变的更高,一般还不暴露在网络的传输过程当中,攻击者其实很难窃取到AccessToken长期的有效访问权限)
  • 用户体验优化(RefreshToken可以实现无感知的token刷新,也就是我们所说的无感刷新,因为当AccessToken失效的时候,客户端就会自动去刷新AccessToken,利用的就是RefreshToken,用户并不需要进行一个重新的登录,从而保证操作的连贯性)
  • 权限控制灵活(而且双token机制还有很好的权限控制灵活性,可以通过控制RefreshToken的有效期,刷新次数等方式来灵活的管理用户的绘画生命周期,并且在必要的时候去撤销RefreshToken的内容从而终止后续所以AccessToken的一个访问生成)


双token流程

用户登录(主要是用户通过用户名或者是用户码或者其他凭证向服务器去进行访问)----> 

验证通过?(验证我们的一个身份,然后服务器,将会设置一个请求授权)---->

颁发Access Token & Refresh Token(当认证成功了以后,颁发两个内容,一个是Access Token 另一个 Refresh Token,Access Token是一个短期的token(比如几十分钟),Refresh Token是一个长期的token(比如可以设置几天或者更长的时间),这两个token都会返回客户端)----->

客户端存储tokens(并且客户端会进行对应的存储)--->

客户端使用Access Token访问受保护资源(查看Access Token是否已经有过期的风险,当Access Token即将或者已经过期了后,客户端用Refresh Token向服务器发送一个新的请求,获取新的Access Token,服务器验证Refresh Token有效,如Refresh Token有效就会颁发一个新的Access Token,当然在此过程中有两种不同的情况,一种是并不会刷新Refresh Token还有一种在申请Access Token的时候还可能会重新生成Refresh Token,那么这两个token的有效期时间会从当前的时间段往回深延,具体的选择需要根据实际的业务情况进行策略的抉择)--->

客户端更新存储的tokens(客户端接收到新的Access Token以后则需要替换原来的Access Token,并且在新访问的时候则使用新的token进行一个访问)

应用场景:

实时上双token我们可以应用到,单点登录,移动应用或者是web网站应用当中,或者是第三方授权操作处理等

注意事项:

Refresh Token安全的存储,需要去确定客户端确保Refresh Token在本地实现更为安全的存储操作,需要去避免被泄露,被篡改,而且对应Refresh Token需要去实时更为合理的生命周期管理和失效的策略,包括并且不限于我们响应的倒退时间还得去考虑何时更新或者是废除Refresh Token,我们需要考虑并发的处理,防止同一个Refresh Token在同一时刻被多次刷新Access Token,目的就是为了防止我们的攻击行为,那么当用户进行系统退出的时候,注销的不光是Access Token还得将Refresh Token也进行一个一统删除,确保用户在进行后续操作的时候无法在获得最新的一个授权,那么对于访问的限制,Refresh Token相关接口应该收到一个严格的控制,仅限于可性的客户端才能进行对应的访问处理

小安吖~
关注
  • 24
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
面试官:你知道机存储有哪几种吗?分别有哪些优缺点(主备、主从、主主)...
weixin_33711641的博客
05-04 952
虽说我们的机子(服务器)在绝大部分下是可靠的,但是还是会有意外发生。 单点故障的情况不可避免,而且单副本的存储方案早已无法满足业务的可靠性要求,单机可靠性就就两个9,也就是一年大概有3.65天不可用。因此一般情况下我们至少也会上个机存储架构。凡事最好有个plan B。 主备 主:主机,备:备机。 主机的意思当然是以它为主了,读写都是主机上,而备机呢就是备用,默默的在背后吸收主机的数据,时刻待命...
vue中前端利用refreshToken结合axios拦截器实现token无感刷新
01-16
内容概要: 1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求接口获取新的AccessToken。 5、替换原有旧的AccessToken,并保存。 6、携带新AccessToken,继续未完成的请求。 7、RefreshToken也过期了,跳转回登录页面,重新登录。 适合人群: 1、具备一定前端基础,熟悉CSS的开发者。 能学到什么: 1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
微信小程序自动刷新token无感刷新token,封装的api工具类
07-12
小程序登录开发通常是调用wx.login获取code,然后发送到后台,后台请求微信拿到用户openId,然后根据openId查询用户,有就走登录流程然后返回token,没有则创建用户之后走登录流程然后返回token,也就是都需要返回一个有时效性的token给小程序端,来保持登录状态,并且后续请求都需要token来验证用户。 那么就有一个问题,就是token的时效性,token过期,后台返回认证授权失败,那么怎么做到无感刷新token,让用户即使token过期了自动刷新token呢?经过查询跟实践,我封装了一个请求类。 思路大致是根据后台返回的状态,如果返回的是授权失败,那么就会保存当前请求,调用刷新token的请求,成功之后再次发起之前保存的请求,这样就可以达到用户无感刷新token。 具体封装类api.js如下,本次代码采用uniapp框架开发,实际项目中每次发起后台请求只需要调用req方法即可做到无感刷新token
后端token登陆快速入门:token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 1001
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
token无感刷新完整例子(VUE+NEST)
03-05
前端vue项目 进入Vue3AxiosTwoToken 执行pnpm i或npm i安装依赖 执行npm run dev运行 打开浏览器器输入"http://localhost:3200"访问 后端nest接口 进入token-test 执行pnpm i或npm i安装依赖 执行npm run start运行
axios如何利用promise无痛刷新token实现方法
10-16
主要介绍了axios如何利用promise无痛刷新token实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1309
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
JWT令牌(token实现登录验证
weixin_43973161的博客
09-23 5446
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
前端技术 token实现流程
qq_65615178的博客
04-25 593
具体的实现细节可以通过调用服务器端提供的API来实现,例如使用jQuery库中的Ajax函数来发送表单数据到服务器端,或者使用WebSocket来实现服务器端推送token值到用户手机上。同时,为了保证token认证的安全性,前端需要做好数据加密、输入验证及异常处理等方面的工作。
Token校验机制
swk1300524046的博客
10-17 626
Toekn机制,token
token的认识
weixin_62122119的博客
06-29 441
token的存在 accessToken和refreshToken存在 acessToken存在周期较短,主要为refreshToken做铺垫,当token过期会不断的刷新token且每次的refreshToKen是会变的。基于token登录验证的情况下 1当你正在访问一个网页时 这时token过期那么你被下线重新登录,2特别是对于哪谢正常访问操作的网页app等的用户,过期时间到被下线,这就很智障,用户体验感极差;
JWT和token的区别及优缺点
一诺
03-05 7942
我们首先应该知道的是什么是单点登录,单点登录是如何实现的,使用了什么技术,技术的选型、优缺点,应用和实现的步骤过程中的难点有哪些怎么解决的等。 技术的话:token与JWT的区别、JWT和redis的区别应用、是否使用到了消息中间件有的话kafka和其他MQ的比较、实现过程中的相关协议等。从其中总结对这些问题点进行总结。
JWT的优缺点以及token实现无感知回话管理
weixin_44421461的博客
06-11 2046
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1592
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
token优点_Token认证的优势与劣势
weixin_39600447的博客
12-20 1370
token 我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大致流程:客户端使用用户名跟密码请求登录服务端收到请求,验证用户名与密码验证成功后,服务端会签发一个Token,再把这个Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在localStorage中客户端每次向服务端请求资源的时候需要带着服务端签...
cookie,session,token的优缺点。
VIC1921507475的博客
02-10 2787
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据不能超过4K。 2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。 session数据放在服务器上。 优点: 1.session较安全 缺点: 1.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
登录生成token的理解
m0_64479814的博客
04-21 4627
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
token验证及CSS样式
明里灰的博客
07-20 212
如果accessToken无效,则验证refreshToken,此时如果refreshToken有效则返回请求结果和信的accessToken和新的refreshToken;执行登录操作,可以使用token验证流程,首先是正常的登录操作,在后台服务器验证账号密码成功之后,返回两个token,一个是accessToken,一个是refreshToken。对于一个网站,首先是进入主页面,然后如果要执行特定的功能,进入个人中心,发博客,评论之类的就需要登录,此时进入特定的页面要判断当前是否登录了账号。
使用 redis 实现 token 无感刷新
05-23
实现 token 无感刷新时,我们可以使用 Redis 来存储 token 的信息。具体实现方式如下: 1. 在用户登录成功后,生成一个 token,并将 token 信息存储到 Redis 中,并设置过期时间。 2. 在用户访问需要认证的接口时,验证该 token 是否有效,如果有效,则延长该 token 的过期时间。 3. 在用户访问刷新 token 的接口时,首先验证旧的 token 是否有效,如果有效,则重新生成一个新的 token,并将新 token 信息存储到 Redis 中,并删除旧的 token 信息。 使用 Redis 实现 token 无感刷新的优点是,可以减轻服务器的负担,提高应用的性能和并发能力。同时,Redis 作为一个高性能的内存数据库,可以快速地读取和写入 token 信息,提高了应用的响应速度和数据安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值