前端设计之——双token设计

已于 2023-10-05 16:12:15 修改
阅读量451 收藏 1
点赞数 2
文章标签: 前端
于 2023-10-05 16:02:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cuichenyang158/article/details/133580557
版权

为什么要使用双token

token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。

如果token过期时间设置的过短,这时就需要用户频繁的进行登录操作,对于用户体验不好

这时就需要双token来达到无痛刷新token的效果

具体实现:

设计图

具体逻辑

  • 当用户登录成功后,后端会返回两个token,一个accessToken过期时间可能十分钟或二十分钟就会过期,一个是refreshToken过期时间有一周或两周时间
  • 用户登录成功之后的请求,我会在axios的请求拦截器中将accessToken带到请求头中,如果accessToken没有过期就是正常的发送请求,一旦用户发送请求时accessToken过期了,后端会返回相应状态码‘401’
  • 此时我们会在响应拦截器中拦截到这个‘401’状态码,这也就表示这accessToken过期了,这时我需要把请求头换成refreshToken,再次发送这个请求,去获取更新后的accessToken
  • 此时会有两种情况,一个是refreshToken没过期,一个是refreshToken也过期了
  • 如果refreshToken没过期,后端会返回响应状态码1024并返回更新后的accessToken,这时也会被响应拦截器拦截到,这时我就需要把更新后的accessToken带到请求头上再次发送这个请求,此时accessToken肯定没过期,请求正常发送
  • 如果refreshToken过期了,后端会返回响应状态码1023,这时我就知道refreshToken也过期了,也就是用户登录过期了,就会让用户重新进行登录操作

自此就完成了token的无痛刷新,在用户访问网站时,用户对于accessToken的刷新是没有体感的,只会在一两周的时间间隔refreshToken也过期的时候进行一次登录操作,就可以正常访问网站了,即降低了用户实际accessToken被劫持的风险,又提升了用户的体验

实现代码:

let refreshToken = getToken('refreshToken') || ''
let isrefreshToken = false
if (!getToken('refreshToken')) {
    isrefreshToken = false
    if (!getToken('refreshToken')) {
        isrefreshToken = true
    }
}

// 添加请求拦截器
request.interceptors.request.use((config) => {
    // 在请求之前做些什么(获取并设置token)
    // 对双token的操作


    let token = getToken('accessToken')
    // 如果有token
    if (token) {
        // 并且token没过期
        if (!isrefreshToken) {
            config.headers['x-token'] = getToken('accessToken') || ''
        }
    }

    // 如果有refreshToken
    if (refreshToken) {
        // 且需要刷新token
        if (isrefreshToken) {
            config.headers['x-token'] = getToken('refreshToken')
        }
    }
    return config
}),
    (error) => {
        return Promise.reject(error)
    }

// 添加响应拦截器
request.interceptors.response.use((response) => {
    // 对响应数据做些什么
    console.log('响应状态码', response.data.code)
    // console.log('isrefreshToken', isrefreshToken);

    let code = response.data.code

    // 还没有设置refreshToken请求头,需要设置一下再次发送请求
    if (!refreshToken && getToken('refreshToken') != null) {
        refreshToken = getToken('refreshToken')
        return request(response.config)
    }

    if (code == 401) {
        //accessToken过期了,需要带着refreshToken,去换取新的token
        refreshToken = getToken('refreshToken')
        isrefreshToken = true
        // 相当于重新走一遍刚刚的请求
        return request(response.config)
    }

    if (code == 1024) {
        setToken('accessToken', response.data.data)
        isrefreshToken = false
        return request(response.config)
    } else if (code == 1023) {
        // 将本地token删除
        removeToken('refreshToken')
        removeToken('accessToken')
        // 跳转到登录页面,重新登录
        router.push('/login')
        //返回信息,让用户重新登录
        isrefreshToken = true
        alert('登录已超期,请重新登录')
    }

    return response
}),
    (error) => {
        return Promise.reject(error)
    }

可以叫我小崔
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于vue 实现token验证的实例代码
01-19
vue-koa2-token 基于vue的 做了token验证 前端部分(对axios设置Authorization) import axios from 'axios' import store from '../store' import router from '../router' //设置全局axios默认值 axios.defaults.timeout = 6000; //6000的超时验证 axios.defaults.headers.post['Content-Type'] = 'application/json;charset=UTF-8'; //创建一个axios实例 c
智能点阵笔毕业设计-Java后端
11-21
dotpen_server是基于开源框架 renren-fast ———— (一个轻量级的,前后端分离的Java快速开发平台,能快速开发项目并交付【接私活利器】)二次开发的项目 支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库。具有如下特点 友好的代码结构及注释,便于阅读及二次开发 实现前后端分离,通过token进行数据交互,前端再也不用关注后端技术 灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求 页面交互使用Vue2.x,极大的提高了开发效率 完善的代码生成机制,可在线生成entity、xml、dao、service、vue、sql代码,减少70%以上的开发任务 引入quartz定时任务,可动态完成任务的添加、修改、删除、暂停、恢复及日志查看等功能 引入API模板,根据token作为登录令牌,极大的方便了APP接口开发 引入Hibernate Validator校验框架,轻松实现后端校验 引入云存储服务,已支持:七牛云、阿里云、腾讯云等 引入swagger文档支持,方便编写API接口文档
前端实现双token的无感刷新技术方案
最新发布
不怕麻烦的鹿丸的博客
03-13 700
在一些项目中,登录机制是双token机制,即有一个短期token(一般设置为30分钟过期),还有一个刷新token(过期时间比较长,可能1天或多天),用于去重新获取新的短期token前端的无感刷新技术实现原理主要是,通过axios的拦截器,在响应拦截里获取到后端接口的返回码,根据返回码判断短期token是否过期。若短期token过期,则去请求判断刷新token是否过期的接口,如果刷新token过期,则返回登陆页面。
毕业设计-智能点阵笔(Java后端)
11-20
项目说明:dotpen_server是基于开源框架 renren-fast ———— (一个轻量级的,前后端分离的Java快速开发平台,能快速开发项目并交付【接私活利器】)二次开发的项目,支持MySQL、Oracle、SQL Server、PostgreSQL等主流数据库。 dotpen_vue:前端地址:https://gitee.com/starry_lixu/dotpen_server.git 代码生成器:https://gitee.com/starry_lixu/dotpen_server.git 具有如下特点: 友好的代码结构及注释,便于阅读及二次开发 实现前后端分离,通过token进行数据交互,前端再也不用关注后端技术 灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求 页面交互使用Vue2.x,极大的提高了开发效率 完善的代码生成机制,可在线生成entity、xml、dao、service、vue、sql代码,减少70%以上的开发任务 引入quartz定时任务,可动态完成任务的添加、修改、删除、暂停、恢复及日志查看等功能
基于ASP的token实现,无态校验
02-10
'生成token code = "1q2w3e4r" timeStamp = DateDiff("n","1970-01-01 08:00:00",Now) token = Md5(timeStamp&code, 32) 无态校验,不存储IIS,MD5(时间戳+静态字符串),登录后生成token——存储前端浏览器——发送后端命名token1——后端生成token2——比对token1与token2
JSON Web Token前端与后端对话密钥生成文件)
06-28
主要使用在用户登录的时候,结合 cookie 可以让用户在您的网站登陆以后 xx 天免登 token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己使用代码进行生成该对应文件 —————————————————————————————————— 生成私钥 - ssh-keygen -t rsa -b 2048 -f private.key —————————————————————————————————— 生成公钥 // window电脑不支持 openssl 代码,使用 git 提供的控制台书写即可 - openssl rsa -in private.key -pubout -outform PEM -out public.key
使用Json Web Token设计Passport系统
weixin_33720956的博客
08-05 123
一、Token Auth机制 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。 相比原始的Cookie+Session方式,更适合分布式系统的用户认证,绕开了传统的分布式Session一致性等问题。 基于Token的身份验证的主流程如下: 用户通过用户名和密码发送请求;程序验证;程序返回一个签名的token 给客户端;客户端储存token,并且每次用于...
vue前端token源码与流程图
Cuichenyang158的博客
07-19 221
token设计的意义其他文章说的很清楚来了,这里就不再重复了,直接附上源码。封装的token方法。
accsstoken设计_登录之token设计方案
weixin_31191387的博客
01-17 318
方案一、采用https加密方案。1、账号密码登录,返回token(其实token类似于sessionid,在session里面存放了userid信息),token有过期时间等信息。app端将token保存在本地;过期后要求重新登录,获取新的token。2、请求参数的时候,将token传到后台,后台根据token获取userid获取用户数据。根据token的时间期限,自动清理。但是token一直不变...
token设计方案,这个厉害!
Java和Android架构
08-05 338
相关阅读:一个90后员工猝死的全过程作者:做个前端 链接:https://www.jianshu.com/p/e07f51c5c8bd 网上关于移动客户端与服务器数据传输之间的 toke...
token设计
qq_33451990的博客
03-19 95
https://blog.csdn.net/acrodelphi/article/details/90671808
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
Sa-Token v1.23.0 这可能是史上功能最全的 Java 权限认证框架! 在线资料 Sa-Token 介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题 框架集成简单、开箱即用、API设计清爽,通过Sa-Token,你将以一种极其简单的方式实现系统的权限认证部分 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限认证 —— 权限认证、角色认证、会话二级认证 Session会话 —— 全端共享Session、单端独享Session、自定义Session 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数
登录生成双token的理解
m0_64479814的博客
04-21 4562
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
token思路设计简单思路
一场梦的博客
06-09 1074
token思路设计简单思路,用户登录成功后生成token并将token与用户唯一的id存入缓存(可以添加缓存flag以免重复),id为key与token关联,token为key与token信息关联(过期时间,生成时间,用户id,token等),用户每次请求带着token,首先判断token是否过期,判断token是否存在,通过以后刷新token重置token生成时间。保存token 验证token是否合法 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用
axios的全局配置和拦截器
lannieZ的博客
10-22 1048
axios(三方插件)的基本用法 axios.get/delete/put/post('url').then(function(res){console.log(ret.data)}) 注意:.then的函数形参.data是固定的写法 参数问题: axios get、delete的二参可以是params:{id:’’}形式 post、put是{uname:’’,age:’’}形式 或者是变量形...
web前端之双token的神奇功效-登陆验证
10-12 1295
细心的你可能会发现,我们在使用app的时候只需要登陆一次账号之后下一次打开就不需要再次登陆,但经过一段时间不登录之后又会要求我们重新登陆,你知道这是如何实现的吗? 双token验证 具体说明如下: 1.根据需要下载软件,完成注册账户 2.登录账户,后端返回 两个token信息,分别为 access_token 以及 refresh_token,access_token称之为短token,refresh_token称之为长token ...
JWT双token前端的存储及请求
Claire_Mk的博客
03-20 2175
什么是tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 什么是双token: 用户登录后,要在一段时间内的请求不用重新登录,APP端的这个时间很长多方面考虑可使用双token,用户端要缓存两个token,一个是access_token,一个是refresh_token。如果只使用一个token并把世界设置很长是有很大缺陷的。第一是为了安全,时间设置的
token 保持登录机制前端拦截实践
皮蛋很白的博客
10-15 1981
token 机制 关于**“双 token 机制”**指的是使用户的登录状态在活跃期间保持有效的一种安全机制。 一般需要用户登录的系统为了校验用户的身份或登陆状态,会在用户登录时由服务器生成一个存储了或指向用户信息的 token,返回给客户端存储,这个 token 称为 access_token。 在请求其它接口的时候将 access_token 发送给服务器(通过 Header 或 Cookie)。 服务器根据 access_token 获取到用户信息,作为鉴权的依据。 而为了避免 token 被用户
PHP Token(令牌)设计
dmtnewtons的专栏
04-01 5657
转载链接:http://www.jb51.net/article/13756.htm PHP Token(令牌)设计 设计目标: 避免重复提交数据. 检查来路,是否是外部提交 匹配要执行的动作(如果有多个逻辑在同一个页面实现,比如新增,删除,修改放到一个PHP文件里操作) 这里所说的token是在页面显示的时候,写到FORM的一个隐藏表单项(type=hidden). token不可明文
websocket 获取连接id_WebSocket实战之——携带Token验证绑定clientId到uid(微信)
05-17
在使用WebSocket进行通信时,我们通常需要对连接进行验证和授权,以确保只有经过身份验证的用户才能访问WebSocket。本文将介绍如何使用Token验证并将WebSocket的clientId绑定到用户的uid(微信)上实现WebSocket通信。 1. Token验证 在使用WebSocket建立连接时,可以在请求头中携带Token进行验证。我们可以在后端实现一个Token验证的过滤器,用于验证请求头中的Token是否有效。如果Token无效,则返回错误信息并关闭WebSocket连接;如果Token有效,则允许WebSocket连接。 以下是一个Token验证的Java代码示例: ```java public class TokenFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; String token = req.getHeader("token"); // 从请求头中获取Token if (token == null) { // 如果Token为空,返回错误信息并关闭WebSocket连接 HttpServletResponse resp = (HttpServletResponse) response; resp.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Token is required"); return; } // 验证Token是否有效,验证通过则允许WebSocket连接,否则返回错误信息并关闭WebSocket连接 if (validateToken(token)) { chain.doFilter(request, response); } else { HttpServletResponse resp = (HttpServletResponse) response; resp.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token"); } } private boolean validateToken(String token) { // Token验证逻辑 return true; // 如果Token有效,则返回true,否则返回false } } ``` 在使用WebSocket时,我们需要在WebSocket请求中添加Token头信息,如下所示: ```javascript const ws = new WebSocket("ws://localhost:8080/websocket"); ws.onopen = function(event) { ws.send("Hello WebSocket"); // 发送消息 }; ws.setRequestHeader("token", "your_token"); // 添加Token头信息 ``` 2. clientId绑定到uid上 在WebSocket连接建立时,我们可以将WebSocket的clientId与用户的uid进行绑定,以便后续使用时能够快速找到对应的用户。在这里,我们以微信用户的openid作为用户的uid进行绑定。 在后端,我们可以维护一个WebSocket连接管理器,用于管理WebSocket连接和用户的绑定关系。当WebSocket连接建立时,我们可以将clientId和openid进行绑定,并将绑定关系保存到连接管理器中。 以下是一个WebSocket连接管理器的Java代码示例: ```java public class WebSocketManager { private static final Map<String, WebSocketSession> sessions = new ConcurrentHashMap<>(); private static final Map<String, String> clientIdToOpenid = new ConcurrentHashMap<>(); public static void addSession(String clientId, WebSocketSession session) { sessions.put(clientId, session); } public static void removeSession(String clientId) { sessions.remove(clientId); clientIdToOpenid.remove(clientId); } public static void bindClientIdToOpenid(String clientId, String openid) { clientIdToOpenid.put(clientId, openid); } public static String getOpenidByClientId(String clientId) { return clientIdToOpenid.get(clientId); } public static WebSocketSession getSessionByClientId(String clientId) { return sessions.get(clientId); } } ``` 当WebSocket连接建立时,我们可以在WebSocket处理器中获取openid,并将clientId和openid进行绑定,如下所示: ```java @Component public class WebSocketHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { String clientId = session.getId(); // 获取WebSocket的clientId String openid = getOpenidFromSession(session); // 获取用户的openid WebSocketManager.addSession(clientId, session); // 将WebSocket连接添加到连接管理器中 WebSocketManager.bindClientIdToOpenid(clientId, openid); // 将clientId和openid进行绑定 } private String getOpenidFromSession(WebSocketSession session) { // 从WebSocket的Attributes中获取用户的openid return (String) session.getAttributes().get("openid"); } } ``` 在后续使用WebSocket时,我们可以根据用户的openid快速找到对应的WebSocket连接,如下所示: ```java String openid = "your_openid"; String clientId = WebSocketManager.getClientIdByOpenid(openid); WebSocketSession session = WebSocketManager.getSessionByClientId(clientId); if (session != null && session.isOpen()) { session.sendMessage(new TextMessage("Hello WebSocket")); } ``` 以上就是使用Token验证并将WebSocket的clientId绑定到用户的uid上实现WebSocket通信的方法。通过Token验证,我们可以确保WebSocket连接的安全性;通过将clientId和openid进行绑定,我们可以快速找到对应的WebSocket连接,提高通信的效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值